Утверждает, что все зашифрованные мессенджеры уязвимы, и в особенности, Whatsapp. Материал наделал много шума, однако так ли все печально на самом деле? Компания-эксперт в области интернет-безопасности Open Whisper Systems утверждает, что ничего нового в The Guardian написано не было и на Вотсап “наехали” напрасно.
Прошлой весной Whatsapp выпустил крупнейшее обновление в своей истории — добавилась функция принудительного конечного шифрования, которая по сути означает, что никто, включая Whatsapp, не может прочитать вашу переписку. Вчерашнее расследование The Guardian представляет мнение эксперта, который заявляет, что Whatsapp умышленно оставил “черный ход” (backdoor) в своем коде для возможного перехвата сообщений спецслужбами и другими заинтересованными лицами. Сами же разработчики Whatsapp утверждают, что это совсем не так, и что потенциально небезопасное поведение их приложения — ни что иное как облегчение жизни своим многочисленным пользователям.
Безопасность переписки Whatsapp была разработана с помощью компании Open Whisper Systems, той самой, которая разработала самый безопасный мессенджер в мире — Signal, и в своем блоге компания подробно описывает как все работает. В Вотсап внедрен Signаl-протокол (а еще он внедрен в недавний Google Allo), который выдает каждому пользователю два ключа безопасности: публичный ключ, по которому его могут идентифицировать другие пользователи и личный приватный ключ, который будет закреплен на устройстве. Поскольку люди частенько меняют свои телефоны и перестанавливают приложения, связка ключей безопасности будет меняться соответственно этому. Пользователи могут убедиться в приватности своего общения внутри Whatsapp, проверяя код безопасности на каждом устройстве, участвующем в разговоре — если коды совпадают, это будет означать что перехват сообщений между собеседниками отсутствует (такой тип атаки называется man-in-the-middle, MITM).
Материал the Guardian основан на расследовании Тобиаса Белтера (Tobias Belter) . Он утверждает, что сервер Whatsapp можно взломать по запросам третьих лиц. То есть Вотсап может сгенерировать новый ключ безопасности и выдать его этим самым третьим лицам пока пользователи не заметят, что что-то произошло. В мессенджере Signal app любая подмена ключа безопасности результирует в невозможность отправки сообщения и в предупреждение безопасности, причем все это происходит до того, как пользователь соберется переправить сообщение заново и самостоятельно. В Whatsapp же пользователь получает уведомление о смене ключа, при этом сообщение будет автоматически перекодировано под новый ключ и отправлено адресату. То есть вы только потом сможете выяснить, действительно ли совпадает новый ключ с вашим адресатом. При том, что такую настройку о предупреждении в вашем Whatsapp еще необходимо включить вручную:
Подобное поведение Whatsapp в компании Open Whisper Systems объясняют идеологической простотой использования мессенджера. А еще, сервера Whatsapp не знают, кто включил настройку о предупреждении, а кто нет — поэтому попытка взлома может быть быстро обнаружена. Во всяком случае, “адвокаты” Whatsapp настаивают на том, что такую политику безопасности можно называть как угодно, но это не уязвимость и не backdoor. Это “особенность”.
Многие западные эксперты по безопасности соглашаются с выводами Open Whisper Systems:
Глубоко в настройках похоронена функция отображения активных сессий с настольных компьютеровIt’s ridiculous that this is presented as a backdoor. If you don’t verify keys, authenticity of keys is not guaranteed. Well known fact.
Frederic Jacobs (@FredericJacobs)
Для Facebook, владельца WhatsApp, сервис WhatsApp Web - это просто опция, специалисты по информационной безопасности, однако, усматривают в нем угрозу. Через него пользователи могут открыть содержимое всех сохраненных сообщений в веб-браузере, считать оттуда любой чат и даже отправлять новые послания.
Однако эта возможность может стать ловушкой: достаточно ненадолго оставить незаблокированный телефон без присмотра на рабочем месте, чтобы завистливый коллега просканировал вашим аппаратом особый QR-код на сайте web.whatsapp.com . Для разоблачения шпионажа такого рода откройте WhatsApp и зайдите в «Настройки». Здесь выберите строчку «WhatsApp Web/Desktop». Вы увидите перечень активных соединений. Нажатием на строчку «Выйти со всех компьютеров» вы завершите все сессии.
Чтобы защитить себя от таких подглядываний на будущее, включите на своем телефоне блокировку экрана. После этого вы можете не бояться, что кто-то незаметно считает вашим аппаратом QR-код на компьютере и получит доступ к переписке.
Компания Soomz (soomz.io) примерно за 600 руб. предлагает набор из трех крышек на камеру. С их помощью вы обезопасите свое устройство
Кроме того, вмешиваться в ваш WhatsApp способно и вредоносное ПО. К примеру, оно позволяет преступникам скрытно делать снимки. Для защиты воспользуйтесь крышкой для веб-камеры.
Так вы будете уверены, что с программой не проводились никакие манипуляции и что она не начнет моментально пересылать содержимое сообщений веб-шпионам.
Проверяем ключи шифрования
При изменении ключей шифрования у пользователя WhatsApp начинает бить тревогу.
Для переписки в WhatsApp предусмотрено сквозное шифрование. Необходимые для него ключи лежат непосредственно на устройствах. С помощью них WhatsApp кодирует информацию и пересылает ее получателю.
Эксперты, однако, вычислили метод обхода такого шифрования. Они просто-напросто изменяют ключ на устройстве получателя, чтобы затем считать сообщение путем атаки «человек посередине».
В том, что пользователь об этом ни слухом ни духом, виноваты настройки мессенджера. Facebook ставит комфорт превыше безопасности и не оповещает об изменениях. Однако, существует возможность активировать уведомления об смене используемого ключа. Она скрывается в настройках.
Для получения уведомления об отсутствии шифрования необходимо, чтобы в настройках была задействована соответствующая функция
Чтобы задействовать оповещения, запустите WhatsApp и зайдите в «Настройки». Оттуда откройте «Аккаунт | Безопасность». Активируйте опцию «Показывать уведомления безопасности».
Если затем ключ получателя изменится, вы об этом узнаете. Однако такая смена не обязательно указывает на атаку.
Вполне вероятно, что получатель просто связал со своим аккаунтом WhatsApp новый телефон. И в этом случае код шифрования будет уже иным. При возникновении сомнений проще всего спросить собеседника, что случилось.
WhatsApp (Ватсап) — самый популярный на сегодняшний день мессенджер для бесплатного обмена сообщениями между пользователями смартфонов. Программа существует под различные платформы: iOS, Android, Windows, Blackberry и даже ныне почившую Symbian. Программа была создана в 2009 году Яном Кумом и Брайаном Эктоном. В 2014 году ее купил Facebook за 19 млрд долларов. Но это, так сказать, предыстория. Я научу вас как бесплатно читать чужую переписку в Ватсап без скачивания сторонних программ, а также регистрации и без СМС))) Метод основан на социальной инженерии и не использует никакого стороннего и зловредного программного обеспечения.
Взлом WhatsApp
В марте 2014 года программист Бас Босхерт опубликовал инструкцию по взлому переписки WhatsApp. Ее суть заключалась в том, что программа установленная на устройстве Android хранит базу данных с перепиской в открытом виде, позже создатели зашифровали эти данные, но и они легко подвергались расшифровке. Учитывая популярность данной программы, можно не сомневаться, что найдется множество желающих получить доступ к аккаунту и читать чужую переписку.
Дополнение, по поводу включения шифрования в WhatsApp
В апреле 2016 года Ян Кум объявил, что сообщения всех пользователей WhatsApp, а также групповых чатов, теперь зашифрованы по методу «end-to-end encryption «, т.е. сообщения и голосовые звонки пользователи не могут быть перехвачены третьими лицами (хакеры, преступники, силовики, разведка и т.п.) Это конечно все здорово, но WhatsApp пошел по пути Telegram. Думаю катализатором такого решения стал прецедент с компанией Apple, которую ФБР принуждало к взлому iPhone террористов из Сан-Бернардино.
Способ чтения чужой переписки , который указан на этой странице основан на методе социальной инженерии и здесь не важно, включено шифрование в ватсап или нет. Шифрование защищает от перехвата сообщений, но не тогда, когда имеется непосредственный доступ к телефону . Поэтому, чтобы защитить свой аккаунт WhatsApp от взлома всегда устанавливайте на него пароль (на разблокировку или на запуск конкретного приложения).
Чтобы включить шифрование в WhatsApp ничего специально делать не нужно. Обновите свою программу до последней версии. Чтобы разговор между двумя абонентами шифровался, то у обоих собеседников должна быть установлена последняя версия WhatsApp.
Отдельно про шифрование я написал .
Моя инструкция по взлому Ватсап
Это даже не взлом Ватсапа в его обычном понимании. Взлом подразумевает использование сторонних программ, вирусов, троянов и т.п. Я всего лишь научу вас как читать чужую переписку. Для этого сами разработчики выпустили такую функцию как веб-версия. При определенных настройках ее можно использовать в своих корыстных целях. Доступ к телефону жертвы обязателен, хотя бы на 30-60 секунд.
1. Первое что нам нужно — открываем свой личный ПК и заходим на страницу https://web.whatsapp.com/ Обязательно должна стоять птичка «оставаться в системе».
2. Второе — это телефон, переписку с которого нужно прочитать. Открываем Ватсап заходим в меню и выбираем пункт WhatsApp Web. Именно в этом месте и нужны те самые 30-60 секунд, за которые надо успеть сосканировать фотокамерой смартфона QR — код на экране компьютера. Код меняется каждую минуту, поэтому времени на раздумья немного.
3 На компьютере в браузере открываются все те же чаты с перепиской, что и на телефоне. Можно также отправлять сообщения и читать их в реальном времени.
Жертва, чья переписка вам теперь доступна для прочтения, даже не догадается об этом, если вы сами про это не расскажете. Если на телефоне снова зайти меню WhatsApp Web, то будет видно, что открыта сессия на компьютере. Могу с уверенностью сказать, что данная информация ничего не скажет 99% пользователям и никто не догадается, что его переписку читает кто-то чужой.
Важно! Доступ к аккаунту Ватсап, а значит и чтение переписки возможны только когда сам смартфон подключен к Интернету. Если он вне сети, синхронизация между телефоном и компьютером отсутствует.
Данная информация была написана мной чисто для ознакомления. Берегите свои телефоны или ставьте на них пароль, как делаю я.
Чтобы защитить свой Андроид смартфон от взлома, который описан выше, я рекомендую установить . С его помощью можно поставить пароль на запуск любого приложения, тот же WhatsApp не запуститься, пока не введешь правильный пароль.
Как запустить сессию WhatsApp Web на телефоне
Хорошая новость, камрады! Наконец то появилась возможность запускать на своем телефоне сессию WhatsApp Web. Если раньше, при попытке открыть страницу сканирования кода в мобильном браузере вас автоматом выкидывало в приложение, то теперь появилась возможность обойти это ограничение. Как?
Скачать приложение, которое называется Whatscan для Whatsweb из PlayMarket или AppStore . Запустить его вы увидите привычное окно, для сканирования QR-кода. Приложение берет на себя роль браузера на компьютере. Просканировав этот код с телефона «жертвы» вы сможете читать ее сообщения не будучи привязанным к компьютеру т.е. прямо с экрана своего смартфона.
Насколько хорошо работает приложение, пишите в отзывах. Пока это единственный способ читать переписку Вотсап другого человека со своего телефона.
Как узнать пароли от почты и страниц в социальных сетях ВК и ОК.
Если вы хотите пойти еще дальше и узнать чужие пароли от аккаунтов ВКонтакте, Одноклассники, почты и т.п. смотрите . Метод 100% рабочий и опробованный. Читаем внимательно, строго следуем инструкции. Вопросы задаем ТОЛЬКО после прочтения.
Проверка измен при помощи GetContact
Новое приложение GetContact в конце февраля буквально « . Устанавливая на телефон небольшую программку ты можешь искать информацию о незнакомых тебе номерах из общей базы, которую пополняют такие же пользователи как и ты. Изначальная идея программы — бороться со спамом. Но если в аналогах пользователи сами помечают тот или иной номер спамным, но GetContact без спросу выкачивает ВСЮ телефонную книгу в общую базу, которую может увидеть КАЖДЫЙ. Пробивая номер вы видете то, как он записан в телефонных книжках у разных людей. К примеру так:
Но, что если мужчина записан под женским именем? Или женщина записана под мужским? Повод задуматься. Узнайте как удалиться из базы GetContact .
За последнее время WhatsApp стал одним из самых популярных мессенджеров не только в России, но и по всему миру. С помощью него удобно вести переписки, передавать данные, осуществлять звонки. И конечно же любой пользователь хочет быть уверенным, что его звонки никто не сможет прослушать, переписку прочитать, а файлы будут доступны только ему и собеседнику. Именно поэтому не стоит упускать из внимания такой параметр, как безопасность .
Уровень безопасности в WhatsApp. Защищенность информации
Прежде всего безопасность — это конфиденциальность, доступность и целостность информации . Компания-разработчик должна давать уверенность своим пользователям в том, что все эти три параметра безопасности функционируют на должном уровне.
В плане безопасности WhatsApp имеет очень богатую историю. Несколько лет назад выяснилось, что изначально, когда приложение только вышло в релиз, безопасность Ватсап осуществлялась всего лишь за счет хеширования пароля с помощью алгоритма MD5. Т.е. взломщик почти не прилагая никаких усилий мог с легкостью заполучить пароль пользователя . Исправить свою репутацию разработчики решили сотрудничеством с криптографической фирмой Open Whisper Systems.
В настоящее время Ватсап использует безопасную технологию шифрования данных, так называемое сквозное шифрование. Для тех, кто не знает, что это такое, попробуем объяснить на простых словах.
Представим, что существует два пользователя Дима и Коля. И у Димы и у Коли генерируется
по два ключа. Первый ключ (открытый) предназначен для зашифровки сообщений
, а второй (закрытый) для обратного процесса — расшифровки. Соответственно открытый ключ находится в открытом доступе, то есть его может просмотреть абсолютно любой
пользователь, но вот расшифровать сможет только обладатель закрытого ключа. Таким образом, сгенерировав по паре ключей, Дима и Коля начинают защищенное общение, так как ключ для расшифровки есть только у автора послания и его получателя.
Однако, несмотря на то, что безопасность в Ватсап осуществляется за счет сквозного шифрования , WhatsApp безопасность находится не совсем на должном уровне. К примеру, Ватсап не защищен от Dos-атак , но немного в своеобразной форме. Разработчики WhatsApp ограничили размер сообщения 6600 символами. Но если сообщение будет содержать 4400 смайлов , работа приложения Вотсап из-за переполнения буфера аварийно завершится. Единственный способ избавиться от данной проблемы на данный момент — удалить переписку с таким отправителем. Следует отметить, что WhatsApp безопасность на iOS пошатнуть подобной атакой невозможно .
Значительно недавно 15.03.2017 г. стало известно о такой уязвимости, используя которую злоумышленники могли захватить полную власть над аккаунтом пользоваться через WhatsApp Web. Так как Ватсап
позволяет отправлять различные типы данных, вредоносный код маскировался под обычную картинку, нажав
на которую атакующий получает доступ к контенту
пользователя. Эта уязвимость была актуальна не только для WhatsApp, но и для Telegram. Новое обновление помогло устранить подобный баг.
Еще один интересный факт. Как выяснил специалист компании iOS по информационной безопасности стертую историю чатов можно восстановить, так как Ватсап не до конца удаляет историю. Связано это с тем, что мессенджер использует базу данных (БД) SQLite для хранения переписок. И когда пользователь пытается удалить выбранные сообщения, они не удаляются , а перемещаются в так называемый free list. Т.е. Ватсап в дальнейшем перезаписывает поверх этих сообщений новые. Но особенность в том, что некоторые сообщения могут ждать своей очереди ни один месяц, чтобы до конца исчезнуть.
Более осторожными необходимо быть пользователям iOS. WhatsApp безопасность несет для них дополнительные риски. Если пользователь платформы iOS создает бекап переписок на Ватсап , то БД SQLite сохраняет незашифрованную историю сообщений на серверы Apple. Специалист по информационной безопасности iOS рекомендует периодически удалять Вотсап с устройства с целью обнуления БД, а также по возможности не пользоваться бекапами icloud.
Также известна еще одна уязвимость. Ватсап может сгенерировать новые пары ключей, если пользователь продолжительное время не был онлайн и при этом не предупредить об случившемся участников переписки. Это значит, что если абонент отправит сообщение пользователю, который давно не был онлайн, либо удалил приложение с телефона, то послание может потеряться, т.е. не дойти до конечного получателя.
Но наполовину этот недочет всё же можно исправить.
Так почему же эта опция исправляет ситуацию лишь наполовину? Дело в том, что Ватсап не поддерживает повторную отправку сообщений, но может предупредить отправителя о том , что ключ шифрования обновился.
Пароль на WhatsApp
Иногда приходиться скрывать свои переписки от посторонних глаз. Нижеописанный способ конечно не спасет ваши данные от профессиональных хакеров, но от тех к кому может попасть в руки ваш телефон вполне возможно.
Приложение ChatLock позволяет поставить пароль на любой мессенджер, в том числе и Ватсап.
Теперь после каждой попытки входа в WhatApp система будет спрашивать у пользователя пароль. При неудачной попытки, вход не совершится.
Подведя итоги, нельзя утверждать, что безопасность в Ватсап осуществляется на должном уровне . Как и любой другой мессенджер WatsApp имеет свои недостатки. Но зная, какие именно есть уязвимости в приложении, можно уберечь себя от многих неприятных ситуаций .
