Безопасность WhatsApp


15.07.19. Троян для WhatsApp заразил 25 млн смартфонов на Android


Новый троян распространяет на смартфонах Android. Исследователи назвали его Agent Smith - в честь антагониста «Матрицы», способного принимать любое обличье. «Агент Смит» выискивает и подменяет легитимную рекламу в приложениях WhatsApp, Opera Mini и Flipkart своими собственными объявлениями. Основная функциональность приложения при этом не страдает, так что пользователи зачастую не имеют ни малейшего представления о том, что заражены. Однако вредоносный код также блокирует все попытки обновить атакованные приложения, - таким образом вредоносная программа защищает себя. По данным исследователей, большинство заражений являются результатом попыток пользователей установить что-то из «левых» магазинов приложений


2019. WhatsApp взломали. Павел Дуров объяснил почему


На днях в мессенджере WhatsApp была обнаружена (и закрыта) уязвимость, позволяющая хакерам взламывать телефоны пользователей простым звонком. С её помощью злоумышленники могли установить на телефоны на базе Android и iOS шпионские программы, позволяющие следить за владельцами телефонов. Пользователям WhatsApp рекомендуется обновить мессенджер (а лучше переустановить телефон). И конечно, Павел Дуров (создатель конкурирующего мессенджера Телеграм) не мог не высказаться по этому поводу. Он напомнил, что в прошлом году в WhatsApp тоже была обнаружена серьезная уязвимость. И, говорит, причина постоянного появления уязвимостей в том, что WhatsApp (в отличие от Telegram) не открывает свои коды и сторонние специалисты по безопасности не могут их проверять. А почему они не открывают коды? - наверно, потому что там есть специальные уязвимости для спецслужб, предполагает Павел.


2019. Уязвимость в WhatsApp для iPhone позволяет читать кому угодно читать ваши сообщения


В WhatsApp обнаружена уязвимость, которая позволяет просматривать чаты, не подтвердив личность пользователя. Она присутствует в версии мессенджера для iOS, в которой недавно стала возможна биометрическая аутентификация по лицу или отпечатку пальца непосредственно перед получением доступа к переписке. Как известно, в iOS есть инструмент Share Sheet, с помощью которого пользователи могут делиться файлами. Зайдя в Share Sheet, нужно выбрать WhatsApp в списке приложений, кликнув на нем. После этого произойдет переход с экрана Share Sheet на экран WhatsApp, во время которого мессенджер должен попросить пользователя подтвердить свою личность через FaceID или TouchID, но такой запрос не поступает. Чтобы получить доступ к чатам, нужно вернуться на домашний экран iOS и напрямую открыть WhatsApp — подтверждение личности мессенджер не запросит. Ошибка возникает только в том случае, если в WhatsApp выставлен срок блокировки продолжительностью одна минута, 15 минут или один час. Если же выставлена опция немедленной блокировки, воспользоваться уязвимостью не удастся.


2017. Eset зафиксировала фишинговую кампанию на пользователей WhatsApp

Специалисты Eset предупредили о новой «мобильной» афере — мошенники предлагают следить за активностью друзей в WhatsApp. Потенциальная жертва получает в мессенджере заманчивое предложение — установить «шпионское» приложение, которое показывает, с кем сейчас общаются пользователи из списка контактов. Фейковые скриншоты обещают, что эта информация появится в строке статуса. «Реклама» заканчивается ссылкой на загрузку приложения. Нажав на ссылку, пользователь будет вынужден поделиться сообщением с десятью друзьями — так распространяется фишинговый контент. После этого выполняется перенаправление на другие страницы. На фишинговых страницах пользователю предложат оставить номер мобильного телефона (он затем пополнит базы спамеров и будет использован для подписки на дорогостоящие SMS-сервисы). Там же осуществляется показ рекламных баннеров и загрузка нежелательного ПО.


2017. В WhatsApp заработала 2-факторная аутентификация


WhatsApp включил функцию двухфакторной аутентификации для всех пользователей мессенджера. Она доступна в приложениях WhatsApp для Android, iOS и Windows Phone. Для её активации необходимо открыть настройки мессенджера и выбрать в меню Аккаунт соответствующую опцию. Если пользователь активировал функцию, ему придётся вводить шестизначный пароль каждый раз при входе в учётную запись с нового устройства. Также он может указать email-адрес для восстановления доступа — на случай, если забудет код доступа.  Если у вас включена функция двухшаговой проверки, ваш номер будет невозможно повторно подтвердить без установленного кода доступа в WhatsApp в течение семи дней с момента последнего использования приложения. По истечении этих семи дней, вы сможете повторно подтвердить ваш номер телефона в WhatsApp без использования установленного кода доступа, но вы потеряете все сообщения, которые находятся в состоянии ожидания. Они будут удалены в процессе повторного подтверждения номера.


2016. Дуров и Сноуден поспорили о защищённости Telegram и WhatsApp


Создатель мессенджера Telegram Павел Дуров и бывший сотрудник ЦРУ Эдвард Сноуден поспорили в Твиттере о защищенности мессенджеров. Началось все с того, что Сноуден не рекомендовал пользоваться новым мессенджером Google Allo (потому что он хранит переписку на сервере), а потом заявил что WhatsApp - надежнее Telegram, т.к. по-умолчанию обеспечивает end-to-end шифрование. Конечно, Павел не смог пройти мимо такого, и возразил, что в Telegram такое-же шифрование можно при желании включить, а вот WhatsApps вынуждает юзеров использовать внешние сервисы для хранения переписки. В итоге, оба согласились, что если пользователь - невнимательный или просто не заботится о конфиденциальности информации - он может в любом мессенджере ее потерять.


2016. Мессенджер WhatsApp включил полное шифрование сообщений


Мессенджер WhatsApp (принадлежащий Facebook) включил функцию оконечного шифрования для всех пользователей своего мессенджера. Для реализации шифрования в WhatsApp используется библиотека мессенджера Signal, который считается одним из самых безопасных в мире. Использование этой библиотеки гарантирует, что на промежуточном сервере данные не только не могут быть расшифрованы, но там также не хранится какая-либо информация метаданных, по которой можно идентифицировать собеседников. Шифрование применяется ко всему пересылаемому содержимому, включая, чаты, групповые чаты, фотографии, вложения, голосовые заметки, а также голосовые вызовы. Для создания защищенного канала необходимо отсканировать QR-код с одного телефона другим. Подобная технология оконечного шифрования используется в мессенджере Telegram Павла Дурова, однако в нём она работает только в так называемых «секретных чатах», рассчитанных на двух собеседников.