24.09.2020

«Безопасность у нас в ДНК»: в WhatsApp выявлено шесть уязвимостей

У WhatsApp появился отдельный портал, на котором компания намерена рассказывать о безопасности на платформе. В связи с запуском ресурса администрация рассказала о шести ранее неизвестных уязвимостях мессенджера. 

Компания WhatsApp обнародовала данные о шести уязвимостях на платформе, сообщает портал TechCrunch. Информация была размещена на новом портале, который будет полностью посвящен безопасности в мессенджере. 

Уязвимости, о которых идет речь, носят названия CVE-2020-1894, CVE-2020-1891, CVE-2020-1890, CVE-2020-1889, CVE-2020-1886 и CVE-2019-11928. Администрация сообщила, что исправила пять из шести найденных проблем в день обнаружения, на устранение еще одной понадобилось несколько дней.

Несмотря на то, что некоторые баги были активированы удаленно, у компании нет данных о том, что киберпреступники успели ими злоупотребить.

Третья часть уязвимостей была обнаружена в рамках программы Bug Bounty, когда люди намеренно ищут ошибки в коде за вознаграждение. Остальные были выявлены в ходе рутинной проверки автоматическими системами.

Отдельный портал, посвященный безопасности, был запущен для обеспечение большей прозрачности в вопросах приватности пользователей, утверждает администрация сервиса. 

«Конфиденциальность и безопасность юзеров заложены в нашей ДНК. Мы стремимся поддерживать самые высокие стандарты защиты для двух миллиардов пользователей по всему миру. С каждой новой функцией и продуктом, которые мы создаем, мы тщательно изучаем последствия для безопасности людей, которые полагаются на WhatsApp для ведения личных бесед», — говорится в сообщении компании.

Несмотря на громкие заявления, ранее WhatsApp не раз становился участником скандалов, связанных с приватностью пользователей. 

Так, в июне текущего года ИБ-исследователь из Индии обнаружил, что номера пользователей WhatsApp можно найти в сети в открытом доступе, а именно —в поисковой выдаче Google.Уязвимость крылась в функции «Click to Chat», которая позволяет начать диалог с пользователем WhatsApp, просканировав QR-код. Каждому аккаунту присваивается уникальный код, который в расшифрованном виде представляет собой ссылку формата https://wa.me/. В конце этой ссылки находится телефонный номер пользователя, который никак не прячется и не шифруется.

Специалист сообщил о том, что нашел в выдаче Google около 300 тыс. телефонных номеров из WhatsApp.

За несколько месяцев до этого в WhatsApp была обнаружена другая проблема с безопасностью — хакеры могли получить доступ к личным данным пользователя при помощи единственного текстового сообщения, отправленного жертве. Для осуществления атаки хакеру требовалось отправить пользователю всего одно сообщение, которое на деле является замаскированной гиперссылкой. Злоумышленник мог подделать ссылку так, чтобы она была очень похожей на адрес популярного ресурса, при этом окошко с предпросмотром ссылки также выглядело бы аутентично.

Весной 2019 года администрация WhatsApp объявила об обнаружении уязвимости, из-за которой на смартфоны пользователей устанавливалось программное обеспечение, предназначенное для слежки.

Вредоносный код внедрялся на устройство с помощью звонка через WhatsApp, причем пользователю мог даже не взять трубку — шпионское ПО устанавливалось автоматически. При этом звонок исчезал из истории, хранящейся внутри гаджета.

«Эта атака по всем признакам была совершена частной компанией, которая работает с правительствами и поставляет им шпионское ПО для получения контроля над системой смартфона. Мы уведомили несколько правозащитных организаций и продолжим сотрудничать с ними, чтобы проинформировать гражданских лиц об этом инциденте», — заявил представитель WhatsApp.

В том же году экс-сотрудник Агентства национальной безопасности (АНБ) США Эдвард Сноуден в комментарии для France Inter заявил о том, что WhatsApp обладает низким уровнем шифрования данных, поэтому пользоваться им может быть небезопасно.

«Использование WhatsApp человеком, который занимается серьезными вопросами в правительстве, — это ошибка», — сообщил Сноуден.

Такой же точки зрения придерживается создатель Telegram Павел Дуров — об этом он заявил в ноябре прошлого года. По словам бизнесмена, WhatsApp не только не может защитить переписку своих пользователей, но и ведет себя как троянский конь, который постоянно следит за владельцем устройства.