SSL-уязвимость в мессенджере WhatsApp

Для этого они использовали проект «Нептун» — платформу для тестов мобильной безопасности.

«Связь в WhatsApp между вашим телефоном и нашим сервером полностью зашифрована. Мы не храним историю вашей переписки на своих серверах. После того, как сообщения чата успешно доставляются на ваш телефон, они удаляются из нашей системы», — такое сообщение опубликовано в FAQ службы поддержки WhatsApp.

Но исследователи «Преториан» обнаружили, что приложение уязвимо к MITM-атакам, потому что не использует SSL-закрепление и следовательно, данные пользователя могут быть с легкостью украдены. SSL-закрепление предотвращает пользователя приложения от подмены SSL-сертификата.

Поскольку WhatsApp не использует SSL-закрепление, злоумышленник может установить MITM-связь между конечными пользователями и серверами веб-сервисов. Что позволяет злоумышленнику перехватить учетные данные пользователя, идентификатор сессии, или другую конфиденциальную информацию.

«WhatsApp шифрует сервера, используя слабые 40-битные и 56-битные схемы, которые могут быть легко взломаны с помощью грубой атаки. А это как раз то, что АНБ любит», — сообщают исследователи.

В свою очередь, разработчики приложения уже сообщили, что они активно работают над добавлением SSL-закрепления.

Еще интересное

Недостаточные обновления и связь с интернетом делают системы уязвимыми для атак.

Неделя, которая подходит к концу, была насыщена интересными и важными событиями. Традиционные сенсации о деятельности спецслужб, прослушивании Интернета, а также секретных договорённостях между корпорациями и государством дополнились сообщениями о новых атаках хактвистов из Anonymous и необычными открытиями американских ученных. А если вспомнить про новые откровения Сноудена, антипиратские законы и…хотя – читайте сами.

Общая сума причиненных хакерами убытков составила почти пятнадцать миллионов гривен.
 
Пользователей Интернета атакует новый опасный локер (блокировщик) – программа, которая шифрует данные без ведома пользователя. Программой  пользуются мошенники, которые вымогают деньги за расшифровку ваших данных.
Брайан Кребс нашел на подпольных форумах информацию о взломе компании, которая предоставляет услуги проката лимузинов на территории США
Появились новые известия о том, как программист вел переговоры с "ПриватБанком".