«WhatsApp уже 13 лет является инструментом слежки»: правда или миф
:format(webp)/YXJ0aWNsZXMvaW1hZ2UvMjAyMS8xLzA2L2M3L2xzcS5qcGc.webp)
Фото - © Александр Манзюк/РИАМО
На днях основатель Telegram и VK Павел Дуров сообщил о том, что хакеры могут получить полный доступ ко всему содержимому телефонов, на которых установлен WhatsApp. Насколько реалистично подобное предупреждение и как можно противостоять возникающим уязвимостям, читайте в материале РИАМО.
Конкурентная борьба или реальная опасность
:format(webp)/YXJ0aWNsZXMvaW1hZ2UvMjAyMi85LzI2LzMwL2ZxdC5qcGVn.webp)
Фото - © Adobe Stock
По словам Дурова, подобные проблемы с системой безопасности WhatsApp случались с 2017 по 2020 год, а до 2016 года в мессенджере отсутствовало шифрование данных в принципе.
Дуров также заявил о том, что даже обновление приложения до последней версии не решит проблему. Кроме того, он добавил, что WhatsApp «уже 13 лет является инструментом слежки».
Нет сомнений, что WhatsApp – это серьезный конкурент Telegram, поэтому к подобным заявлениям следует подходить довольно критично. Насколько справедливы подобные обвинения, РИАМО выяснило у экспертов информационной безопасности.
Утечка персональных данных: почему это происходит и как от этого защититься>>
Уязвимости ликвидируются в новых версиях
:format(webp)/YXJ0aWNsZXMvaW1hZ2UvMjAyMi85L2M5LzI5L25zNS5qcGVn.webp)
Фото - © Adobe Stock
«Павел Дуров в своем заявлении ссылается на критическую уязвимость мессенджера на базе iOS и Android, что подтвердили в WhatsApp. По утверждению Дурова, эксплуатация уязвимостей ведет к получению злоумышленниками доступа ко всем данным из всех приложений на устройстве жертвы. По умолчанию приложение WhatsApp не имеет доступа к данным других приложений. Отсюда можно сделать вывод, что уязвимости есть не только в WhatsApp, но и в операционных системах iOS и Android, если, конечно, Дуров прав. Подтвердить или опровергнуть эту информацию невозможно без проведения детального исследования или анализа подтверждающих эксплойтов», – считает Даниил Чернов, директор центра Solar appScreener компании «РТК-Солар».
Он советует пользователям настроить автоматическое обновление версий установленных приложений и операционной системы.
«Уязвимости появляются неожиданно. В этот момент компании-разработчики ПО стремятся максимально оперативно выпустить патчи безопасности, чтобы защитить пользователей. Так, уязвимости в WhatsApp были закрыты в новых версиях для iOS и Android, которые оперативно выпустила компания», – сообщает эксперт.
«Полгода жила без мобильного»: москвичи о жизни без гаджетов и интернета>>
Бреши в WhatsApp уже опубликованы и устранены
:format(webp)/YXJ0aWNsZXMvaW1hZ2UvMjAyMS8xLzk0LzZmL3l0cy5qcGc.webp)
Фото - © Александр Манзюк/РИАМО
Николай Анисеня, руководитель исследований безопасности мобильных приложений Positive Technologies, объяснил, что пользователи, установившие последнее обновление WhatsApp, не подвержены атакам с использованием уязвимостей, о которых писал в своем Telegram-канале Павел Дуров.
WhatsApp действительно опубликовал на своем официальном сайте рекомендации пользователям по вопросам безопасности, где говорится об упомянутых Дуровым уязвимостях. Эти данные могли позволить атакующему ввести произвольный код от имени приложения WhatsApp на устройстве жертвы, то есть получить полный контроль над приложением, отметил Анисеня.
Уязвимостям присвоены идентификаторы CVE-2022-36934 и CVE-2022-27492. Теперь о них может узнать каждый. Это означает, что данные бреши уже устранены, подчеркнул эксперт. Поэтому пользователи, установившие последнее обновление, не подвержены атакам с использованием этих уязвимостей.
Эволюция обмана: как телефонные мошенники пускают в ход новые схемы>>
Взломать все приложения через WhatsApp невозможно
:format(webp)/YXJ0aWNsZXMvaW1hZ2UvMjAyMi8xMC84ZC84MS91cXkuanBn.webp)
Фото - © isorepublic.com
«К заявлениям о том, что через эти баги атакующий может получить доступ к любым данным, я бы отнесся с настороженностью. Дело в том, что мобильные операционные системы ограничивают доступ приложений к данным друг друга: например, WhatsApp не имеет доступа к вашему мобильному банку. Для того чтобы злоумышленники могли обойти данную защиту, им потребуется либо подходящая уязвимость в приложении мобильного банка, либо уязвимость в самой ОС: например, повышение привилегий для обхода песочниц Sandbox. К уязвимости в WhatsApp эти потенциальные сценарии не имеют отношения», – утверждает Анисеня.
От микрозаймов до сайтов знакомств: самые распространенные виды мошенничества в России>>
Сообщать об уязвимостях – это норма
:format(webp)/YXJ0aWNsZXMvaW1hZ2UvMjAyMi85Lzc3L2Y0L3dsay5qcGVn.webp)
Фото - © Adobe Stock
По словам Павла Дурова, регулярные сообщения об исправленных уязвимостях в WhatsApp свидетельствуют о том, что это на самом деле не уязвимости, а бэкдоры – программные закладки, намеренно внесенные разработчиком для слежки.
«Так это или нет – не ясно. Зато известно, что для крупных приложений считается нормой иметь свою программу вознаграждения за найденные уязвимости и регулярно сообщать пользователям об улучшении безопасности. Такие программы есть не только у WhatsApp, но и у Telegram и VK», – обращает внимание эксперт.
Отписка вместо расставания: как изменилось общение в эпоху соцсетей>>