Брянцам сообщили, что их тайные переписки могут легко читать. Накануне авторитетное издание 9to5Mac, специализирующееся на новостях о цифровых технологиях, рассказало подробности интересного судебного иска к мессенджеру WhatsApp, принадлежащему компании Meta, которая в России признана экстремистской организацией и запрещена.
Журналисты напомнили, что основатели популярного приложения и нынешний владелец заявляют об использовании сквозного шифрования (end-to-end encryption или E2EE), которое обеспечивает невозможность прочтений сообщений за пределами чата. Однако в одном судебном иске утверждается, что это не так и что любой сотрудник головной компании якобы может получить полный доступ ко всем сообщениям, отправленным или полученным любым пользователем. Профессор Университета Джонса Хопкинса и специалист по криптографии Мэттью Грин высказался по этому поводу в подробной записи в блоге, где проанализировал выдвинутые утверждения и их вероятную реальность.
Основатели мессенджера Ян Кум и Брайан Эктон изначально построили мессенджер вокруг сквозного шифрования. В своё время правительства и правоохранительные органы выражали обеспокоенность тем, что не смогут получить доступ к содержимому переписок. E2EE означает, что только участники чата имеют доступ к ключам, необходимым для расшифровки сообщений. Сообщения передаются через серверы приложения в зашифрованном виде, у компании не должно быть возможности расшифровать эти данные.
Однако в коллективном иске заявляется, что это ложь и приложение на самом деле не использует E2EE. Утверждается, что мессенджер и головная компания хранят зашифрованные сообщения и имеют к ним неограниченный доступ, а процедура получения такого доступа для сотрудников довольно проста. Сотруднику достаточно отправить запрос коллеге-инженеру с объяснением, что ему нужен доступ к сообщениям мессенджера для работы. Инженерная команда затем предоставляет доступ, после чего сотрудник может читать сообщения пользователей. Сообщения появляются почти сразу после отправки — фактически в реальном времени. Более того, доступ не ограничен по времени: сотрудники могут просматривать сообщения с момента активации аккаунта пользователем, включая те, которые пользователи считают удалёнными.
Криптограф Мэттью Грин написал подробный пост на эту тему. Он отмечает, что хотя шифрование самого популярного в мире мессенджера основано на протоколе Signal, сам код приложения не является открытым, поэтому независимые исследователи не могут проверить, как именно оно реализовано. Тем не менее он считает (свои мысли насчет иска он предваряет фразой «я не могу однозначно утверждать, что это не так»), что команда мессенджера была бы уже давно разоблачена, доказательства почти наверняка были бы видны в коде приложения, все это привело бы и мессенджер, и головную компанию к краху.
>
