Создатель Telegram Павел Дуров написал колонку, в которой раскритиковал мессенджер WhatsApp за проблемы с безопасностью. Дуров отметил, что не любит «концентрироваться на конкурентах», но люди спрашивали его про ситуацию с WhatsApp и он решил поделиться своими мыслями.
Он заявил, что новости об уязвимости в данном мессенджере его не удивили. Дуров напомнил, что в 2018-м стало известно об уязвимости, срабатывающей при видеозвонках во WhatsApp.
«Каждый раз, когда WhatsApp приходится исправлять критическую уязвимость в своем приложении, на ее месте появляется новая», — пишет Дуров. По его мнению, все выявленные проблемы в безопасности хорошо подходят для слежки, а также работают и выглядят очень похоже на бэкдоры (дефект алгоритма, намеренно встроенный разработчиком — РБК).
WhatsApp не только не публикует исходный код своего мессенджера, что не дает специалистам легко проверить его на наличие бэкдоров, но и специально «запутывает» файлы своих приложений чтобы никто не мог их изучить, пишет Дуров.
Он также предположил, что WhatsApp и владеющей мессенджером компании Facebook могли предписать установить бэкдоры, такой приказ могли дать в том числе в ФБР, считает основатель Telegram. Дуров добавил, что заниматься приложением с защищенной связью в США нелегко и команда Telegram в 2016-м столкнулась с тремя попытками вторжения со стороны ФБР.
Дуров добавил, что органы безопасности оправдывают попытки «закулисных действий» борьбой с терроризмом. Однако, подобные бэкдоры могут использовать также преступники и авторитарные режимы. «Неудивительно, что диктаторы любят WhatsApp. Отсутствие безопасности позволяет им шпионить за своими людьми, поэтому WhatsApp по-прежнему находится в свободном доступе в таких местах, как Россия или Иран, где Telegram запрещен властями», — заявил Дуров.
Дуров отметил, что в 2012-м доступ к сообщениям во WhatsApp могли получить не только власти или хакеры, но и операторы мобильной связи или же администраторы точек Wi-Fi. Появившееся позже в мессенджере шифрование основатель Telegram назвал «маркетинговым ходом», подчеркнув, что ключи от него были доступны властям нескольких стран, включая Россию.
14 мая стало известно, что в мессенджере WhatsApp обнаружена уязвимость, позволяющая использовать программы слежения за пользователями. Вредоносную программу, которая делает это возможным разработала израильская компания NSO, которая позиционирует себя производителем программного обеспечения для спецслужб.
По данным Financial Times, команда WhatsApp в начале мая обнаружила, что вредоносный код может распространяться через звонки в мессенджере, даже если пользователь на них не ответил. Жертвами таких атак в ряде случаев стали правозащитники, в частности, из Amnesty International. Обновление, которое должно устранить уязвимость, выпустили 13 мая.
Константин Нагаев
Эксплуатация уязвимости мессенджера WhatsApp (CVE-2019-3568) за счёт переполнения буфера VoIP-стека может привести к скрытой установке программ-шпионов на целевые телефоны. Для реализации эксплуатации достаточно сформировать специальный голосовой вызов, то есть фактически позвонить на телефон жертвы. Относительно простой в транспортировке и распространении эксплойта способ показывает на количество потенциальных жертв, подверженных данной уязвимости. Это практически все пользователи WhatsApp, которых по последним оценкам насчитывается около 1,5 млрд человек.
Устранение уязвимости решается обновлением приложения. В подобных случаях релиз выпускают в самые короткие сроки. Обнаруженная критическая уязвимость функции аудиовызова может быть и в аналогичных программах-мессенджерах.