В одном из популярнейших сервисов мгновенного обмена сообщениями WhatsApp обнаружена уязвимость, позвляющая третим лицам перехватывать и читать чужую переписку. Была выявленая проблема в реализации протокола сквозного шифрования.
Сквозное шифрование в WhatsApp запустил в апреле прошлого года. Оно реализовано на базе протокола Signal, разработанного Open Whisper Systems. Защищенность протокола обеспечивает включает генерация уникальных ключей, которыми обмениваются клиентские приложения собеседников в начале соединения, их последующая взаимная верификация, которая исключающает перехват и чтение содержимого сообщений посторонними.
Уязвимость была обнаружена Тобиасом Бельтером (Tobias Boelter), экспертом по криптографии и информационной безопасности в Университете штата Калифорния. По его заявлению, он уведомил Facebook о наличии уязвимости в апреле 2016. Однако Facebook утверждает, что сервис WhatsApp работает именно так как должен, и отпроверг саму возможность перехвата сообщений.
Представители WhatsApp сообщили, что повторная отправка сообщений была реализована, поскольку «во многих регионах мира люди часто меняют устройства и SIM-карты», и что в таких ситуациях WhatsApp заботится о том, чтобы сообщения были доставлены адресату и не терялись. «Сегодня более миллиарда людей используют WhatsApp, потому что это простая, быстрая, надежная и безопасная разработка. Мы всегда верили в то, что общение людей должно быть защищенным и приватным», — заявили The Guardian в пресс-службе WhatsApp.
Facebook выкупил WhatsApp в 2014 г. за $22 млрд. В августе 2015 г. политика безопасности личных данных была изменена, и Facebook начал комбинировать данные о пользователях WhatsApp и Facebook (в том числе, телефонные номера и статистику использования приложения) в рекламных целях и для дальнейшего совершенствования.