Закрытые групповые чаты в защищенных мессенджерах со сквозным шифрованием оказались не такими уж закрытыми. По данным исследователей Рурского университета в Бохуме (Германия), любой, у кого есть контроль над серверами таких приложений, как WhatsApp, Signal и Threema, может незаметно добавлять в закрытые группы новых участников. Добавленные участники могут следить за диалогом без каких-либо разрешений со стороны администратора.
Как пояснили исследователи, в личной переписке двух пользователей сервер играет незначительную роль, однако в случае с групповыми чатами роль сервера значительно возрастает, поскольку он используется для управления всем процессом. Здесь и кроется проблема, считают эксперты. Использование сквозного шифрования предполагает, что даже у WhatsApp и Signal нет доступа к переписке своих пользователей. Тем не менее, пользователи групповых чатов вынуждены целиком и полностью доверить управление ими серверам, которые могут добавлять новых пользователей.
WhatsApp и Signal надлежащим образом не проверяют, кто добавляет в групповые чаты новых участников. Поэтому посторонний (ни администратор, ни даже участник группы) может беспрепятственно добавлять новых пользователей для слежки за всем происходящим в чате. Более того, при добавлении нового участника никто не получит соответствующих уведомлений – злоумышленник с доступом к серверу (например, подкупленный сотрудник WhatsApp или Signal) может манипулировать уведомлениями или даже заблокировать.
WhatsApp известно о проблеме. Тем не менее, по словам представителей компании, участники чатов будут проинформированы о добавлении нового пользователя в любом случае. "Мы внимательно изучили проблему. Действующие участники получают уведомления, когда в групповые чаты WhatsApp добавляются новые люди. Мы разработали WhatsApp таким образом, что групповые сообщения не могут доставляться скрытым пользователям", - сообщили представители WhatsApp изданию Wired. Однако пользователи зачастую игнорируют уведомления о новых пользователях, поскольку они необязательно должны знать всех участников группы лично.
По словам исследователей, решить проблему можно, добавив механизм аутентификации при добавлении новых участников. Осуществить вышеописанную атаку довольно сложно, однако для правоохранительных органов это не составит большого труда.