Найдена уязвимость в групповых чатах WhatsApp

Киран Гарибэлла из Федеральной политехнической школы Лозанны в Швейцарии и Гарет Тайсон из Колледжа Квин Мэри в Лондоне опубликовали большую исследовательскую работу на тему безопасности публичных чатов в WhatsApp. Оказалось, что любой человек может найти чат через поиск и получить важную информацию из сообщений.

В мессенджере WhatsApp есть ограничение на групповые чаты — нельзя добавить больше 256 участников в один чат. Добавлять участников в чат может только админ, но еще можно подключаться к чатам по специальной ссылке-приглашению.

В исследовании Кирана и Гарета говорится, что эту ссылку-приглашение в групповой чат WhatsApp можно найти через поиск в «гугле». В качестве примера они смогли подключиться к двум тысячам чатов с разной тематикой — политика, юмор, фильмы, спорт и другие. Для ускорения процесса они написали простой алгоритм, который автоматически искал ссылки на чаты в поиске и подключался к ним. Но этот процесс можно масштабировать.

Что дальше.

Далее исследователи показали, какую информацию можно получить из групповых чатов — они собрали 500 миллионов сообщений от 50 тысяч пользователей за полгода. Помимо текстовых сообщений удалось получить мобильные номера, видео, фото, ссылки, которыми делились пользователи в группе. Этот процесс тоже легко автоматизировать.

Приложение WhatsApp хранит сообщения локально в памяти смартфона, но в зашифрованном виде. Для доступа к данным исследователи взяли готовый инструмент индийских разработчиков, который достает ключ дешифровки из оперативной памяти устройства, сообщает VentureBeat.

Чем это опасно.

Получается, что любой человек при желании и с минимальными затратами может собрать большой массив данных из групповых чатов в WhatsApp. Использовать эти данные можно как угодно: мобильные телефоны для спама, а содержание сообщений, например, для таргетированной рекламы. Еще можно получить важную информацию, например, связанную с политикой, если пользователи группового чата не придадут значения, не заметят и не удалят нового пользователя.

Поэтому лучше не делиться важной информацией в групповых чатах WhatsApp, это можно делать через личные сообщения, которые нельзя перехватить, либо воспользоваться другим мессенджером.