Власти отслеживают переписки из-за уязвимости в WhatsApp

В марте команда безопасности WhatsApp опубликовала внутреннее предупреждение коллегам. В нем сказано, что шифрование не помогает защитить переписку пользователей мессенджера от отслеживания со стороны правительств. 

Уязвимость основана на «анализе трафика», методике мониторинга сети, существующей уже несколько десятилетий. Она не позволяет раскрыть содержимое диалогов, но раскрывает другую информацию о пользователе. 

В WhatsApp в свою очередь заявили об отсутствии бэкдоров и доказательств эксплуатации уязвимостей. При этом в оценке команды «уязвимости» описываются как «текущие». 

Отмечается, что правительство может легко определить, когда человек использует WhatsApp, отчасти потому, что данные должны проходить через легко идентифицируемые корпоративные серверы. Затем правительственное учреждение может раскрыть конкретных пользователей, отслеживая их IP-адрес и учетную запись интернет-провайдера или поставщика услуг сотовой связи. 

Команда внутренней безопасности WhatsApp выявила несколько примеров того, как умелое наблюдение за зашифрованными данными может вызвать корреляционную атаку. В одном случае пользователь отправляет сообщение группе, в результате чего на устройства всех членов этой группы передается пакет данных одинакового размера. Другая корреляционная атака предполагает измерение временной задержки между отправкой и получением сообщений WhatsApp между двумя сторонами. Это позволяет определить расстояние и, возможно, местоположение каждого получателя. 

Важно, что инженеры WhatsApp понимают серьезность проблемы, но не понимают, как исправить ее, так как требуется найти компромисс между производительностью и оперативностью, а также конфиденциальностью. Опция искусственной задержки отправки сообщений скажется на всех пользователях, а отправка потока ложных данных для маскировки реальных разговоров может отпугнуть уже власти. 

Ранее стало известно, что WhatsApp может покинуть индийский рынок, если не сможет договориться с местными властями. Согласно закону, принятому в стране в 2021 году, сервисы с более чем пятью миллионами пользователей должны раскрывать личность первичного отправителя той или иной информации.