Дуров призвал удалить WhatsАрр из-за уязвимостей. Так ли прав основатель Telegram?

Опасные видео

В очередных проблемах с WhatsApp признались в Facebook, холдингу которого принадлежит мессенджер. 14 ноября компания сообщила, что в WhatsApp устранили брешь CVE-2019-11931. Она позволяла злоумышленникам удаленно, с помощью WhatsApp, взламывать устройства, зная только номера телефонов пользователей. Хакеры отправляли жертвам специальный файл в формате MP4, с помощью которого на гаджете устанавливалась шпионская программа или бэкдор. Это вело к проблемам с переполнением буфера и сбою.

«Проблема кроется в парсинге метаданных таких типов файлов. Результатом успешной эксплуатации может стать как состояние DoS, так и удаленное выполнение кода», — написали в Facebook.

Фактически с помощью отправленного видео хакеры получали доступ к сообщениям и файлам, которые отправляли пользователи через WhatsApp.

Уязвимость была обнаружена в версиях программы для всех платформ: Android, iOS, Enterprise Client, Windows Phone, а также Business for Android и Business for iOS.

«Уязвимость уже исправлена, там выпустили обновление. Но какое-то время с помощью нее, отправив определенным образом файл, можно было заразить устройство чем-нибудь другим и получить доступ к данным на нем», — объяснил «360» заместитель руководителя Лаборатории компьютерной криминалистики и исследования вредоносного кода Group IB Сергей Никитин.

Критика Дурова

Несмотря на то, что об уязвимости стало известно еще на прошлой неделе, а в новых обновлениях она и вовсе была устранена, основатель Telegram Павел Дуров обрушился с критикой на мессенджер только сейчас.

«Все больше свидетельств тому, что WhatsApp стал ловушкой для людей, которые все еще верят Facebook в 2019 году. Но возможно и то, что WhatsApp просто случайно внедряет критические уязвимости безопасности в свои приложения каждые несколько месяцев. Но я сомневаюсь — у Telegram, похожего приложения по сложности, не было проблем такого масштаба за все шесть лет после запуска», — написал Дуров в своем Telegram-канале.

Программист напомнил, что еще в мае предупреждал о рисках появления все новых уязвимостей в WhatsApp. По словам Дурова, этот мессенджер не просто не защищает сообщения, а постоянно используется в качестве троянского коня для слежки за фотографиями и сообщениями, не относящимися к WhatsApp.

Дуров обратил внимание на то, что Facebook сообщила об уязвимости, но, по их словам, нет доказательств того, что она была создана именно хакерами. Он заметил, что для получения доказательств компании нужно анализировать видео, которыми обмениваются пользователи WhatsApp. При этом мессенджер не хранит видеофайлы на своих серверах постоянно, а отправляет незашифрованными прямо на серверы Google и Apple.

Дуров заявил, что уязвимость такого масштаба, без сомнений, будет использована хакерами. Поэтому он дал пользователям простой совет: если они не хотят, чтобы все их фотографии и сообщения в один прекрасный день стали общедоступными, нужно удалить WhatsApp.

Дуров в своем посте также дал ссылки на 12 сайтов с новостями, которые, по его мнению, могут убедить в необходимости отказаться от WhatsApp.

Не только видео

За последний год Facebook и входящий в его холдинг WhatsApp не раз и не два попадали в мировые новости из-за новых уязвимостей.

В октябре независимый ИБ-исследователь под ником Awakened рассказал про баг CVE-2019-11932, который позволяет получать доступ к сообщениям с помощью гифок. По его словам, проблема связана с ошибкой класса double-free, которая возникает при попытке дважды освободить ячейку памяти. Он показал на видео, что злоумышленники могут получить доступ к устройству в течение нескольких секунд после того, как вредоносный GIF-файл появится в окне галереи в WhatsApp. Проблема была устранена в версии WhatsApp 2.19.244.

В мае WhatsApp сам сообщил о серьезной уязвимости, которая позволяла хакерам устанавливать на телефонах вредоносную программу для слежки за пользователями. Суть атаки заключалась в том, что на телефон просто отправлялся голосовой звонок. Причем, даже если пользователь не отвечал на него, вредоносная программа все равно устанавливалась. Она позволяла отслеживать передвижение владельца с помощью камеры и микрофона смартфона. По информации Financial Times, шпионскую программу разработала израильская фирма NSO Group.

Пару недель назад Rеutеrs сообщил, что из-за бага с голосовым сообщением слежке подверглись политики и представители высшего руководства вооруженных сил из, как минимум, 20 государств с пяти континентов.

Кроме того, Bloomberg сообщал, что США и Британия подписали соглашение, согласно которому данные WhatsApp могут передавать британской полиции. Хотя это и не уязвимость приложения в техническом смысле, но все равно неприятно.

Все это выглядит еще более угрожающе, если учесть, что, по последним данным, у WhatsApp 1,6 миллиарда пользователей. Он занимает третье место среди всех соцсетей и первое место среди мессенджеров. Для сравнения, у Telegram, по данным комиссии по ценным бумагам и биржам США, 300 миллионов пользователей по всему миру.

MessengerPeople опубликовал карту, на которой показано, какие мессенджеры предпочитают использовать пользователи тех или иных стран. Оказалось, что WhatsАрр является абсолютным лидером в Восточной Европе, в том числе и в России, в Африке, Южной Америке, Мексике и Индии. Есть страны, где лидирует Telegram. Это Иран, Узбекистан и Эфиопия.

Эксперты предполагают, что именно популярность мессенджера сделала его столь уязвимым.

«Это проблема, но нужно понимать, что любое популярное ПО является целью для поиска уязвимостей. Чем популярнее, тем больше ищут, тем больше находят. В любом мессенджере могут быть уязвимости. Вопрос только в том, насколько быстро их ищут и насколько быстро исправляют», — заметил Никитин.

Есть вопрос и к Павлу Дурову — насколько в его словах действительно стоит забота о пользователях и насколько желание распространить свой продукт. Никитин отметил, что в Telegram тоже могли быть уязвимости, которые уже исправили и которые не получили столь большой огласки.

«Безопасность мессенджера с точки зрения шифрования данных — это одно, есть ли сквозное шифрование, зашифрованы ли базы. А другая плоскость — вопрос уязвимости в самой программе. Мессенджер может передавать все очень безопасно, но если он сам дырявый, то, эксплуатируя эту уязвимость, можно получить доступ ко всем этим безопасно хранимым и передаваемым данным. И это действительно проблема», — заключил Никитин.