9 августа 2018 г.
Приложения-мессенджеры сегодня широко используются для деловых коммуникаций. Однако можно ли быть уверенным, что ваш собеседник именно тот, за кого выдаёт себя? «Отнюдь», — утверждают в Check Point Software Technologies.
Приложением WhatsApp, которым владеет Facebook, сейчас пользуются около 1,5 млрд человек. Одна из наиболее разрекламированных его особенностей — сквозное шифрование: оно гарантирует высокую защищённость информации в цифровом канале связи между собеседниками.
Но охотящиеся за данными злоумышленники могут применять более изощрённый тип атаки, отличный от брутального взлома шифрованного канала. Исследователи из Check Point обнаружили, что особым образом модифицированный клиент WhatsApp позволяет отправлять собеседникам сообщения с подкорректированными или даже полностью сфабрикованными цитатами.
Пользователи оригинального клиента WhatsApp успели уже привыкнуть, что если сообщение в чате выделено и отправлено кому-либо с использованием внутренней функции «Переслать», оно представляет собой абсолютно точную копию исходного; своего рода его «нотариально заверенный скриншот». И если в личном общении подложное цитирование может обернуться в худшем случае неприятным недоразумением, для деловых коммуникаций подобное попросту недопустимо.
Более того, в условиях политической нестабильности и социальной напряжённости фейковые цитаты в мессенджерах грозят обернуться большой бедой. Массовые рассылки в том же WhatsApp, даже в отсутствие столь изощрённого хакерского инструментария, злоумышленники не раз уже использовали, чтобы взбудоражить огромные массы людей в Индии, в Бразилии и во многих других частях света.
Самое же интересное заключается в том, что выявленную Check Point уязвимость разработчики мессенджера уязвимостью... попросту не сочли. Карл Вуг, официальный спикер WhatsApp, заявил, что редактирование или фабриковка пересылаемых сообщений — ничуть не более серьёзная проблема, чем вольная правка обычных электронных писем при их цитировании. Мессенджер гарантирует своим пользователям защищённость канала связи, но не абсолютную достоверность циркулирующей внутри этого канала информации.
Занятный побочный эффект обнаруженной Check Point «уязвимости» (в кавычках, поскольку, по мнению WhatsApp, она таковой не является) обнаружен в групповых чатах. Один из участников такого чата — используя всё тот же модифицированный клиент, о котором упоминалось ранее, — может направить другому приватное сообщение, которое будет выглядеть в точности так же, как если бы было публичным.
То есть собеседник злоумышленника окажется в заблуждении, что все в чате только это прочли, и может в ответ на провоцирующую реплику («Всё равно ведь уже всем всё известно, что теперь терять!») высказать публично то, чего говорить вовсе не собирался. Опять-таки, в бизнес-коммуникациях подобный опрометчивый шаг может обойтись весьма дорого.
Теоретически, предотвратить отправку поддельных цитат всё-таки можно. Для этого следует, к примеру, хранить на серверах мессенджера записи всех сообщений, отправленных его пользователями, и сверять каждую отправляемую в чат цитату с оригиналом.
Но связанные с этим накладные расходы — да и угрозы так трепетно оберегаемой WhatsApp конфиденциальности цифровой переписки — настолько велики, что Facebook вряд ли пойдёт на подобный шаг. Компанию и так все кому не лень обвиняют сегодня в многочисленных и разнообразных нарушениях приватности доверивших ей свои данные пользователей.
Источник: Максим Белоус