Проект ADAMANT: централизованные мессенджеры реального времени небезопасны

[Tomcat_MkII]

Cпонсорский контент

Отправка текстовых сообщений сегодня не составляет ни малейшего труда для пользователей самых разных современных IT-продуктов. Функции коммуникации, передачи данных, мультимедиа — всё это является самой важной и неотъемлемой для юзеров частью использования сегодняшнего интернета. Но лишь критически малая их доля задумывается о том, что происходит с данными после нажатия на красивые иконки отправки текста и просмотра приятных анимаций во всех популярных мессенджерах.

 

Куда доставляются сообщения помимо ваших собеседников, как они хранятся, кто имеет к ним доступ? Обходя споры по поводу технических частей продуктов, имеющих сотни миллионов активных пользователей, и постоянное использование неточных терминов и формулировок в СМИ, попытаемся разобрать основные моменты систем шифрования и доставки сообщений в нескольких популярных на сегодняшний день сервисах, используя конкретные факты.

 

Первым на очереди будет WhatsApp — наиболее используемый мессенджер планеты с ежемесячным количеством активных пользователей в 1.5 миллиарда. Еще в середине 2016 года его представители заявили о планах, пообещав полноценное "end-to-end" шифрование для каждого отправленного сообщения. Через некоторое время их обещания сбылись. Системы шифрования обновились и обрели новое название для указаний в CМИ, до определенного момента. 

 

Как оказалось спустя несколько дней, почти в каждом официальном текстовом релизе проекта находилась доля прямой лжи читателям. Несмотря на заявления о полном непосредственном шифровании новоиспеченным "end-to-end" способом во всех случаях переписки, необходимые настройки безопасности находились “на самом глубоком дне”, и их было почти невозможно отыскать. А на случай, если вы их обнаружите, разработчики подготовили огромный бэкдор, то есть намеренную системную уязвимость в безопасности всей структуры.

 

Манипуляции с данными могли осуществляться в виде повторной отправки сообщений с измененным ключом шифрования, дублированием данных в облаке, вплоть до доступа к действиям со всей информацией внутри приложения. Полные материалы с примерами и подтверждениями, включая отрывки кода, были опубликованы в скором времени на мелких ресурсах, не подконтрольных правительству США или влиянию Facebook. Стоит отметить, что WhatsApp имеет закрытый, юридически защищенный исходный код, что означает полную невозможность проверки заявлений разработчиков.

 

 

 

Читать полностью