Утверждает, что все зашифрованные мессенджеры уязвимы, и в особенности, Whatsapp. Материал наделал много шума, однако так ли все печально на самом деле? Компания-эксперт в области интернет-безопасности Open Whisper Systems утверждает, что ничего нового в The Guardian написано не было и на Вотсап “наехали” напрасно.

Прошлой весной Whatsapp выпустил крупнейшее обновление в своей истории — добавилась функция принудительного конечного шифрования, которая по сути означает, что никто, включая Whatsapp, не может прочитать вашу переписку. Вчерашнее расследование The Guardian представляет мнение эксперта, который заявляет, что Whatsapp умышленно оставил “черный ход” (backdoor) в своем коде для возможного перехвата сообщений спецслужбами и другими заинтересованными лицами. Сами же разработчики Whatsapp утверждают, что это совсем не так, и что потенциально небезопасное поведение их приложения — ни что иное как облегчение жизни своим многочисленным пользователям.

Безопасность переписки Whatsapp была разработана с помощью компании Open Whisper Systems, той самой, которая разработала самый безопасный мессенджер в мире — Signal, и в своем блоге компания подробно описывает как все работает. В Вотсап внедрен Signаl-протокол (а еще он внедрен в недавний Google Allo), который выдает каждому пользователю два ключа безопасности: публичный ключ, по которому его могут идентифицировать другие пользователи и личный приватный ключ, который будет закреплен на устройстве. Поскольку люди частенько меняют свои телефоны и перестанавливают приложения, связка ключей безопасности будет меняться соответственно этому. Пользователи могут убедиться в приватности своего общения внутри Whatsapp, проверяя код безопасности на каждом устройстве, участвующем в разговоре — если коды совпадают, это будет означать что перехват сообщений между собеседниками отсутствует (такой тип атаки называется man-in-the-middle, MITM).

Материал the Guardian основан на расследовании Тобиаса Белтера (Tobias Belter) . Он утверждает, что сервер Whatsapp можно взломать по запросам третьих лиц. То есть Вотсап может сгенерировать новый ключ безопасности и выдать его этим самым третьим лицам пока пользователи не заметят, что что-то произошло. В мессенджере Signal app любая подмена ключа безопасности результирует в невозможность отправки сообщения и в предупреждение безопасности, причем все это происходит до того, как пользователь соберется переправить сообщение заново и самостоятельно. В Whatsapp же пользователь получает уведомление о смене ключа, при этом сообщение будет автоматически перекодировано под новый ключ и отправлено адресату. То есть вы только потом сможете выяснить, действительно ли совпадает новый ключ с вашим адресатом. При том, что такую настройку о предупреждении в вашем Whatsapp еще необходимо включить вручную:

Подобное поведение Whatsapp в компании Open Whisper Systems объясняют идеологической простотой использования мессенджера. А еще, сервера Whatsapp не знают, кто включил настройку о предупреждении, а кто нет — поэтому попытка взлома может быть быстро обнаружена. Во всяком случае, “адвокаты” Whatsapp настаивают на том, что такую политику безопасности можно называть как угодно, но это не уязвимость и не backdoor. Это “особенность”.

Многие западные эксперты по безопасности соглашаются с выводами Open Whisper Systems:

It’s ridiculous that this is presented as a backdoor. If you don’t verify keys, authenticity of keys is not guaranteed. Well known fact.

Frederic Jacobs (@FredericJacobs)

WhatsApp (Ватсап) — самый популярный на сегодняшний день мессенджер для бесплатного обмена сообщениями между пользователями смартфонов. Программа существует под различные платформы: iOS, Android, Windows, Blackberry и даже ныне почившую Symbian. Программа была создана в 2009 году Яном Кумом и Брайаном Эктоном. В 2014 году ее купил Facebook за 19 млрд долларов. Но это, так сказать, предыстория. Я научу вас как бесплатно читать чужую переписку в Ватсап без скачивания сторонних программ, а также регистрации и без СМС))) Метод основан на социальной инженерии и не использует никакого стороннего и зловредного программного обеспечения.

Взлом WhatsApp

В марте 2014 года программист Бас Босхерт опубликовал инструкцию по взлому переписки WhatsApp. Ее суть заключалась в том, что программа установленная на устройстве Android хранит базу данных с перепиской в открытом виде, позже создатели зашифровали эти данные, но и они легко подвергались расшифровке. Учитывая популярность данной программы, можно не сомневаться, что найдется множество желающих получить доступ к аккаунту и читать чужую переписку.

Дополнение, по поводу включения шифрования в WhatsApp

В апреле 2016 года Ян Кум объявил, что сообщения всех пользователей WhatsApp, а также групповых чатов, теперь зашифрованы по методу «end-to-end encryption «, т.е. сообщения и голосовые звонки пользователи не могут быть перехвачены третьими лицами (хакеры, преступники, силовики, разведка и т.п.) Это конечно все здорово, но WhatsApp пошел по пути Telegram. Думаю катализатором такого решения стал прецедент с компанией Apple, которую ФБР принуждало к взлому iPhone террористов из Сан-Бернардино.

Способ чтения чужой переписки , который указан на этой странице основан на методе социальной инженерии и здесь не важно, включено шифрование в ватсап или нет. Шифрование защищает от перехвата сообщений, но не тогда, когда имеется непосредственный доступ к телефону . Поэтому, чтобы защитить свой аккаунт WhatsApp от взлома всегда устанавливайте на него пароль (на разблокировку или на запуск конкретного приложения).

Чтобы включить шифрование в WhatsApp ничего специально делать не нужно. Обновите свою программу до последней версии. Чтобы разговор между двумя абонентами шифровался, то у обоих собеседников должна быть установлена последняя версия WhatsApp.

Отдельно про шифрование я написал .

Моя инструкция по взлому Ватсап

Это даже не взлом Ватсапа в его обычном понимании. Взлом подразумевает использование сторонних программ, вирусов, троянов и т.п. Я всего лишь научу вас как читать чужую переписку. Для этого сами разработчики выпустили такую функцию как веб-версия. При определенных настройках ее можно использовать в своих корыстных целях. Доступ к телефону жертвы обязателен, хотя бы на 30-60 секунд.

1. Первое что нам нужно — открываем свой личный ПК и заходим на страницу https://web.whatsapp.com/ Обязательно должна стоять птичка «оставаться в системе».

2. Второе — это телефон, переписку с которого нужно прочитать. Открываем Ватсап заходим в меню и выбираем пункт WhatsApp Web. Именно в этом месте и нужны те самые 30-60 секунд, за которые надо успеть сосканировать фотокамерой смартфона QR — код на экране компьютера. Код меняется каждую минуту, поэтому времени на раздумья немного.

3 На компьютере в браузере открываются все те же чаты с перепиской, что и на телефоне. Можно также отправлять сообщения и читать их в реальном времени.

Жертва, чья переписка вам теперь доступна для прочтения, даже не догадается об этом, если вы сами про это не расскажете. Если на телефоне снова зайти меню WhatsApp Web, то будет видно, что открыта сессия на компьютере. Могу с уверенностью сказать, что данная информация ничего не скажет 99% пользователям и никто не догадается, что его переписку читает кто-то чужой.

Важно! Доступ к аккаунту Ватсап, а значит и чтение переписки возможны только когда сам смартфон подключен к Интернету. Если он вне сети, синхронизация между телефоном и компьютером отсутствует.

Данная информация была написана мной чисто для ознакомления. Берегите свои телефоны или ставьте на них пароль, как делаю я.

Чтобы защитить свой Андроид смартфон от взлома, который описан выше, я рекомендую установить . С его помощью можно поставить пароль на запуск любого приложения, тот же WhatsApp не запуститься, пока не введешь правильный пароль.

Как запустить сессию WhatsApp Web на телефоне

Хорошая новость, камрады! Наконец то появилась возможность запускать на своем телефоне сессию WhatsApp Web. Если раньше, при попытке открыть страницу сканирования кода в мобильном браузере вас автоматом выкидывало в приложение, то теперь появилась возможность обойти это ограничение. Как?

Скачать приложение, которое называется Whatscan для Whatsweb из PlayMarket или AppStore . Запустить его вы увидите привычное окно, для сканирования QR-кода. Приложение берет на себя роль браузера на компьютере. Просканировав этот код с телефона «жертвы» вы сможете читать ее сообщения не будучи привязанным к компьютеру т.е. прямо с экрана своего смартфона.

Насколько хорошо работает приложение, пишите в отзывах. Пока это единственный способ читать переписку Вотсап другого человека со своего телефона.

Как узнать пароли от почты и страниц в социальных сетях ВК и ОК.

Если вы хотите пойти еще дальше и узнать чужие пароли от аккаунтов ВКонтакте, Одноклассники, почты и т.п. смотрите . Метод 100% рабочий и опробованный. Читаем внимательно, строго следуем инструкции. Вопросы задаем ТОЛЬКО после прочтения.

Проверка измен при помощи GetContact

Новое приложение GetContact в конце февраля буквально « . Устанавливая на телефон небольшую программку ты можешь искать информацию о незнакомых тебе номерах из общей базы, которую пополняют такие же пользователи как и ты. Изначальная идея программы — бороться со спамом. Но если в аналогах пользователи сами помечают тот или иной номер спамным, но GetContact без спросу выкачивает ВСЮ телефонную книгу в общую базу, которую может увидеть КАЖДЫЙ. Пробивая номер вы видете то, как он записан в телефонных книжках у разных людей. К примеру так:

Но, что если мужчина записан под женским именем? Или женщина записана под мужским? Повод задуматься. Узнайте как удалиться из базы GetContact .

Для Facebook, владельца WhatsApp, сервис WhatsApp Web - это просто опция, специалисты по информационной безопасности, однако, усматривают в нем угрозу. Через него пользователи могут открыть содержимое всех сохраненных сообщений в веб-браузере, считать оттуда любой чат и даже отправлять новые послания.

Однако эта возможность может стать ловушкой: достаточно ненадолго оставить незаблокированный телефон без присмотра на рабочем месте, чтобы завистливый коллега просканировал вашим аппаратом особый QR-код на сайте web.whatsapp.com . Для разоблачения шпионажа такого рода откройте WhatsApp и зайдите в «Настройки». Здесь выберите строчку «WhatsApp Web/Desktop». Вы увидите перечень активных соединений. Нажатием на строчку «Выйти со всех компьютеров» вы завершите все сессии.

Чтобы защитить себя от таких подглядываний на будущее, включите на своем телефоне блокировку экрана. После этого вы можете не бояться, что кто-то незаметно считает вашим аппаратом QR-код на компьютере и получит доступ к переписке.

Кроме того, вмешиваться в ваш WhatsApp способно и вредоносное ПО. К примеру, оно позволяет преступникам скрытно делать снимки. Для защиты воспользуйтесь крышкой для веб-камеры.

Так вы будете уверены, что с программой не проводились никакие манипуляции и что она не начнет моментально пересылать содержимое сообщений веб-шпионам.

Проверяем ключи шифрования

Для переписки в WhatsApp предусмотрено сквозное шифрование. Необходимые для него ключи лежат непосредственно на устройствах. С помощью них WhatsApp кодирует информацию и пересылает ее получателю.

Эксперты, однако, вычислили метод обхода такого шифрования. Они просто-напросто изменяют ключ на устройстве получателя, чтобы затем считать сообщение путем атаки «человек посередине».

В том, что пользователь об этом ни слухом ни духом, виноваты настройки мессенджера. Facebook ставит комфорт превыше безопасности и не оповещает об изменениях. Однако, существует возможность активировать уведомления об смене используемого ключа. Она скрывается в настройках.

Чтобы задействовать оповещения, запустите WhatsApp и зайдите в «Настройки». Оттуда откройте «Аккаунт | Безопасность». Активируйте опцию «Показывать уведомления безопасности».

Если затем ключ получателя изменится, вы об этом узнаете. Однако такая смена не обязательно указывает на атаку.

Вполне вероятно, что получатель просто связал со своим аккаунтом WhatsApp новый телефон. И в этом случае код шифрования будет уже иным. При возникновении сомнений проще всего спросить собеседника, что случилось.

Сделка Facebook по покупке WhatsApp, о которой я писал , вызвала бурную критику по вопросу цены, и конечно же свежую критику безопасности этих самых миллиардов сообщений, отправленных и доставленных через программу WhatsApp. Сама компания WhatsApp заявляет, — "связь между телефоном и нашим сервером полностью зашифрована". Но в то же время напоминает, что пользователь должен знать, что при отправке сообщений, устройство получателя не может быть безопасным. И самое главное, компания клянется что не хранит истории переписки, и что сообщения удаляются с сервера сразу же после доставки. Но это все было до Facebook, а теперь представьте себе вы переписываетесь с другом по поводу выбора подарка на 8 марта для своей любимой, и после этого Facebook, так невзначай, показывает вам рекламу духов. Заманчиво? Я думаю для Facebook еще как заманчиво, учитывая их трудности, и отток пользователей из социальной сети.

Тем не менее, исследователи в области безопасности указывают, что в системе, которой пользуются 450 миллионов людей во всем мире, могут и должны быть уязвимости. Так Паул Ярегуи, основатель компании в области ИТ безопасности Praetorian, заявил в своем блоге, что безопасность WhatsApp и шифрование не так уж безопасны, ссылаясь на уязвимости в применении SSL, защищенного протокола обмена данными. "Исследование группы безопасности мобильных систем подняло ряд вопросов связанных с безопасностью SSL, влияющих на конфиденциальность данных пользователей WhatsApp, на пути их следования к серверам компании", — сказал Паул. Затем специалист уточнил о чем идет речь, — "Это такие вещи о которых мечтает АНБ. Это попросту позволяет им, или злоумышленнику, в общем случае атакующему, подключиться к соединению, а затем упростить шифрование, разбив его на блоки и в конечном итоге прослушивать весь трафик. Эти вопросы безопасности ставят пользователей WhatsApp и их данные под угрозу". Он также добавил, что хотел бы получить разрешение для своей компании Praetorian от Facebook и WhatsApp на более детальное исследование безопасности. Подчеркнув что уверен, что это будет несложно "залатать" дыры в программном обеспечении. Не думаю что он получит такое разрешение, учитывая что у Facebook есть своя программа финансирования исследования безопасности ПО.

А тем временем в Германии, комиссар земли Шлезвиг-Гольштейн подготовил заявление о том, что сделка по продаже WhatsApp вызывает серьезные опасения приватности и что вообще WhatsApp не соответствует европейским правилам о защите данных. Тило Вейшерт официально заявил, что люди должны отказаться от использования WhatsApp в пользу других "более проверенных сервисов".

В октябре прошлого года исследователь из Голландии, Тейс Алкемад, опубликовал статью в своем блоге, в которой говорит, что шифрование можно обойти, и это значит что "любой, кто способен подслушать подключение WhatsApp способен расшифровать свои сообщения, приложив достаточно усилий". Сама компания WhatsApp не отвечала на запросы прессы о вопросах безопасности.

Многие специалисты предрекают быстрый спад интереса пользователей к приложению WhatsApp. Так Нико Сел, сооснователь приложения по обеспечению безопасности Wickr, сказал что количество скачиваний его приложения увеличилось на несколько тысяч, после анонса о сделке Facebook, и добавил, — "Я думаю люди быстро побегут прочь от WhatsApp, потому что это теперь часть Facebook". Wickr это приложение, направленное на защиту пользователя его анонимности и конфиденциальности, с помощью шифрования высокого класса, за счет привлечения к тестированию и анализу хакеров, работающих за вознаграждение. Так, по крайней мере, заявляет сам Нико Сел.

Я думаю что всем понятно, что после сделки на 19 миллиардов долларов, появятся много желающих как-то заработать на этом. И мы еще услышим об утечках данных пользователей WhatsApp. И произойдет это по вине Facebook, когда те начнут встраивать туда фишки для своих рекламных целей.