До 2023 года мессенджер WhatsApp скачали более 7 млрд. раз. Эта цифра говорит о большой популярности программы. Многие эксперты по безопасности сходятся во мнении — данное приложение одно из самых опасных для пользователя.
Вирусы
Создатель ВК и Telegramm, Павел Дуров отметил — в WhatsApp столько уязвимостей и дыр, что его можно рассматривать как приложение для слежки за пользователем. Это утверждение подтвердили израильские специалисты по безопасности в Сети. В 2022 году они провели обширное исследование мессенджера. В ходе эксперимента была выявлена уязвимость, с помощью которой можно было запустить вирус или троян для слежки.
Мессенджер подвергался взлому вредоносным ПО не единожды. Самый известный вирус, который наделал много шума: CVE-2022-11932. Это так называемый вирус с «ГИФ». Он позволял похищать с телефона переписку, а также отдельные файлы. Вирус проработал практически три месяца в 2022 году.
Все выглядело довольно банально. Пользователь хотел отправить медиа файл или ГИФ-изображение. При этом он нажимал на значок скрепки для выбора файла. Именно в этот момент срабатывал триггер, который открывал дорогу вирусу.
Заражению подвергался не сам мессенджер, а библиотека файлов, обеспечивающая работу с медиа на смартфоне. Однако разработчики WhatsApp долгое время не искали «лекарства» к данной уязвимости.
Похищение личных данных
Групповые чаты содержат в себе очень опасную уязвимость. Она позволяет похищать личные данные у пользователей в открытых чатах. Эту теорию доказали на практике исследователи из Федеральной политехнической школы Лозанны в Швейцарии. За короткий временной срок они смогли собрать информацию у 45 000 пользователей мессенджера из 178 публичных чатов. Эксперты получили на руки такие данные: открытые изображения, видео, пользовательские ссылки, номера мобильных телефонов.
Сам алгоритм взлома оказался довольно простым. Злоумышленники искали открытые чаты и вступали в них. Такие площадки собирают до 256 человек. В них нет как такового администрирования, поэтому пользователи подключались к чатам без модерации. Запускалась программа-троян, которая похищала открытые данные и файлы без ведома пользователя.
Нет функции шифрования
По поводу защиты и шифрования в Вацапе кто-только не высказывался. В качестве эксперимента переписки взламывали и скачивали множество. По факту в приложении есть система защиты в виде шифрования. Но что она собой представляет?
В мессенджере поддерживается сквозное шифрование libaxolotl (Signal Protocol). Оно должно защищать переписку от утечки данных. Однако на практике оказалось, что все ключи проходят через внутренние сервера WhatsApp. У разработчиков есть возможность передать “подставные” ключи шифрования, после чего для них откроется личная переписка пользователя. Получается, централизованная система имеет уязвимость в корне, которую никак не хотят исправлять.