Где находятся сервера WhatsApp и другие вопросы безопасности

О том, где находятся сервера WhatsApp, не утихают споры. В XXI веке вопрос информационной безопасности беспокоит всех. Исключением не являются и пользователи всевозможных мессенджеров, в том числе с WhatsApp. Каждый, кто хоть раз отправлял какое-нибудь сообщение, которое не хотел бы показывать другим людям помимо абонента, задавался вопросом – где находятся главные компьютеры компании.

Где же сервера?

Разработчики приложения на начало 2017 года не разглашают информации о том, где сервера Ватсап находятся. Эта секретность поддерживается в том числе и в целях безопасности для клиентов, ведь физический доступ к серверам могут пожелать получить различные злоумышленники.

Но в последней политике конфиденциальности можно обнаружить сведения намеки на то, что устройства располагаются в США и других странах. Скорее всего, речь идет о европейских государствах, также возможно наличие региональных устройств для других крупных рынков, например, Азии, но утверждать этого нельзя, а разработчики продолжают хранить молчание.

Как обеспечивается безопасность переписки

На серверах в течении 30 дней хранятся все недоставленные сообщения. Все остальные находятся исключительно в памяти устройства отправителя и получателя. Особенно популярные материалы могут храниться и дольше.

Если ты удаляешь свой аккаунт, то и с базы данных вся информация полностью удаляется.

К сожалению, к мессенджеру нередко возникали претензии с точки зрения безопасности. Специалисты находили недостаточно эффективными как методы шифрования, так и иные средства защиты. В 2012 году, к примеру, немецким техническим сайтом The H было продемонстрировано, как украсть любой аккаунт. До 2012 года все сообщения отправлялись вообще открытым текстом, в настоящий момент используется шифрование.

Но это шифрование имеет бэкдоры, уязвимости, которые могут использовать как злоумышленники, так и различные корпорации. Так, Facebook по сути имеет возможность расшифровать любое сообщение, пересылаемое через WhatsApp.

Теперь, когда ты знаешь, что хранится на серверах Whatsapp, ты можешт быть спокоен за свою безопасность. Несмотря на отмеченные уязвимости, конкретных данных о взломе определенного аккаунта злоумышленниками нет. Уровень безопасности в целом соответствует аналогичным мерам, предпринимаемым другими мессенджерами.

На нашем сайте также подробно разобрана новая политика конфиденциальности Whatsapp. Она включает в себя ряд особенностей, которых ранее у данных устройств не было.

Также нами подробно было рассмотрено сквозное шифрование Ватсап, его сильные и слабые стороны.

Благодаря некоторым функциональным особенностям мессенджер Вацап сегодня превратился фактически в социальную сеть, где люди не только ведут деловые переговоры, но и просто по-человечески общаются и развлекаются.

Что такое Ватсапп?

Это такое бесплатное приложение, которое вы можете установить на сматрфоны самых распространенных типов:

• Android
• iPhone
• BlackBerry
• Nokia Symbian
• Windows Phone

Как видите – все любимые марки представлены в списке поддерживаемых сервисом WhatsApp платформ.

Как скачать Ватсап на смартфон?

Тут есть два варианта. Поскольку в новых моделях смартфонов в списке предустановленных программ имеется Магазин Приложений, то можно найти мессенджер WhatsApp там. Если же на вашей прошивке такого сервиса нет, можно вацап скачать бесплатно на официальном сайте сервиса. На сайте вы увидите большую кнопку Скачать Сейчас. Смело нажмите и система сама определит, с какого типа смартфона вы посетили сайт WhatsApp. После этого загружаете и устанавливаете мессенджер как всегда.

Регистрация в системе Вацап и настройка опций

Когда вы запускаете мессенджер Ватсап, первое, что вас удивит, так это то, что никто не будет требовать от вас каких-либо персональных данных и придумывания пароля. Запусти приложение – и тут же в интерфейсе видите все номера телефонов ваших друзей. Все уже работает и вы зарегистрированы автоматически по номеру сим-карты вашего смартфона.

Откуда Вотсап узнал телефонные номера ваших друзей? Вспомните, при установке программы вы давали какие-то разрешения на доступ программы к данным на телефоне. Да кто их читает, эти требования. Так вот – мессенджер про сканировал список контактов на вашем устройстве и отправил их на сервер системы для поиска ваших знакомых в интернете.

WhatsApp скачать и установить на свой телефон – это хорошо, но, еще нужно, чтобы и ваши знакомые проделали то же самое. Ведь общение происходит внутри системы при помощи интернет-телефонии.

• Скачать Whatsapp для телефона
• Скачать Whatsapp для компьютера
• Скачать Whatsapp для Android

Что же, теперь придется обзванивать всех своих друзей и уговаривать скачать Вацап? Можно не напрягаться. WhatsApp работает как “Двое из ларца” в популярном мультике. Полная автоматика, сервис WhatsApp почти все будет делать за вас. Разве что – общаться не будет. Вы можете задать опцию, чтобы мессенджер WhatsApp самостоятельно разослал приглашения к общению всем вашим знакомым из списка контактом.

Полезные функции сервера Воцап

Итак, вы скачали и уставили приложение, разослали приглашения друзьям – что дальше? Зачем все это вообще было нужно? Очень много полезных и приятных возможностей. В качестве одной из главных целей создатели сервиса Ватсап рассматривали возможность пользователя непрерывно контролировать состояние доступности и настроенность на общение всех ваших контактов. В режиме реального времени, так сказать. В интерфейсе Вотсап вы всегда сможете посмотреть – кто из друзей отсутствует, а кто в зоне доступа. Когда же нужный человек появится в сети, WhatsApp вам отправит пуш-уведомление.

Статусы Ватсап

Чтобы народ не беспокоил вас по-пустому, можно создать статус и тогда все будет видеть в вашем профиле: “Я занят, обращаться только если собираетесь дать денег”. Или наоборот: “Свободен. С кем перекинуться парой ласковых?” В интернете на разных сайтах, посвященных сервису WhatsApp можно найти массу прикольных вацап-статусов. Все ваши статусы автоматически сохраняются и можно по мере необходимости менять состояние, просто выбирая подходящие фразы из истории статусов.

Продвинутые функции Воцап

Теперь WhatsApp превратился в достойную альтернативу Скайпу. Появилась функция телефонных переговоров в видео режиме. Хотите видеть, в каком состоянии находится ваш собеседник? Тогда приложите видео разговор. Ах, вы еще не одеты и без макияжа? В этом случае целесообразно поговорить как по обычному телефону, без изображения. Это бесплатно – ведь переговоры идут через интернет, минуя сотовых провайдеров.

Крупнейшие телекоммуникационные компании всего мира теряют десятки миллионов американских зеленых рублей ежегодно с тех пор, как пользователи интернета познакомились с WhatsApp. И действительно – зачем платить за каждую смс, за каждую минуту разговора сотовому оператору, если все эти услуги можно иметь в Вацапе бесплатно и неограниченно.

Ватсап для компьютеров и планшетов

К сожалению, до сего дня не было разработано официальных версий приложения WhatsApp для десктопных и планшетных компьютеров. Разработчики почему-то зациклились исключительно на смартфонах.

Поэтому, чтобы установить мессенджер Ватсап на стационарный компьютер и планшет придется использовать альтернативные методы:

1. Установить на компьютер эмулятор операционной системы Android.
2. После этого вы сможете использовать свой десктоп как мобильное устройство и устанавливать любые приложения из магазина Google Play.

Если вы пользователь Instagram, то уже сталкивались с эмуляторами Android чтобы пользоваться социальной фотографической сетью на стационарном компьютере. В Инстаграме тоже почему-то все завязано на смартфонах.

Ватсап Web версия

Если у вас есть смартфон и вы уже пользуетесь Ватсапом, но хотите расширить сервис и на стационарный компьютер, например, в офисе, чтобы не отвлекаться на поиски мобильника во время работы, то вы можете пользоваться мессенджером в режиме онлайн, на сайте WhatsApp.

• Для этого снова откройте сайт WhatsApp в браузере. Используйте самые современные обозреватели типа Opera, Chrome, Mozilla Firefox – так качество связи будет выше.
• Откройте вкладку WhatsApp Web.
• Возьмите в руки смартфон и просканируете находящийся на странице сайта QR-код.

Дальше все произойдет само собой, как и положено в этом сервисе. Ваш компьютер будет синхронизирован с вашим аккаунтом Ватсап и можете пользоваться мессенджером прямо с рабочего стола.

WhatsApp — один из наиболее удобных и безопасных мессенджеров для смартфонов. Расскажем о том, как скачать Ватсап, о его особенностях и функциях.

Главное достоинство Ватсап — широкий выбор средств общения наряду с высокой степенью защищенности коммуникации. Мессенджер позволяет общаться с помощью видео и голосовых звонков, обмениваться текстовыми сообщениями, документами, фото и т. д. При этом все транзакции Ватсап защищены сквозным шифрованием, так что обычные пользователи могут не беспокоиться об уровне конфиденциальности.

Как загрузить на смартфон

Основным устройством для работы с Ватсап является смартфон. Его нельзя установить на планшеты через Google Play, нужно пользоваться обходным путем.

Однако, мессенджер можно использовать на компьютерах и в браузере, если он уже активирован на мобильном устройстве.

Для установки нужно:

1. В Play Market найти WhatsApp, скачать бесплатно и установить.
2. После запуска выбрать страну и ввести мобильный номер.
3. Получить SMS и ввести код.
4. Можно установить фотографию и указать имя пользователя.

Далее в WhatsApp Messenger нужно добавить контакты и можно начинать пользоваться им.

Установка на планшет

1. В браузере планшета зайдите на официальный сайт Ватсап мессенджер.
2. В меню в разделе «Скачать» выберите ссылку Android.
3. Загрузите файл установки.
4. Запустите полученный файл с расширением apk и выполните инсталляцию.

Установленная программа Вацап активируется точно также, как и на мобильном телефоне (см. выше).

Установка на компьютер

Чтобы скачать Ватсап бесплатно для ПК нужно иметь активированную версию для мобильного устройства с рабочей основной камерой.

Для установки нужно:

1. Загрузить установочный файл для Windows или MacOS на официальном сайте. Поддерживаемые ОС указаны на странице загрузки.
2. Инсталлировать программу.
3. Запустить WhatsApp, а чтобы подключить его — отсканировать QR-код.

Работа в браузере

Основное условие для такого варианта использования — активированная программа на мобильном девайсе (придется отсканировать QR-код). Подойдет для ПК с Linux, Windows 7 или для планшетов. Для работы в браузере в верхнем меню на официальной странице выбрать WhatsApp Web и включить приложение, следуя инструкциям.

Мы разобрали, как скачать приложение Ватсап бесплатно, теперь вкратце рассмотрим его возможности.

Основные функции

WhatsApp можно отнести к разряду минималистичных мессенджеров с интерфейсом, в котором легко сосредоточиться на главной функции — общении, не важно, в какой форме она происходит. Даже в таких популярных программах, как Viber или Skype, по крайней мере, поначалу, возникают сложности с выполнением ряда действий, а в Вацап интерфейс более прост и интуитивен.

Важная часть общения — это конфиденциальность. Вацап позволяет общаться с высокой степенью секретности, а современное сквозное шифрование дает гарантию, что никто посторонний не сумеет прочесть, услышать или увидеть сообщение. Общение может включать обмен фотографиями, видео, ссылками, различного рода документами, которые также шифруются и недоступны никому, кроме адресата.

Групповое общение — распространенная сегодня функция — может включать до 256 абонентов одновременно, что более чем достаточно для среднего пользователя. К услугам малого бизнеса — WhatsApp Business с расширенными функциями общения с клиентами и автоматическими ответами.

У мессенджера надежная система архивирования сообщений и восстановления их из архивов, при этом они могут храниться в зашифрованном виде как на смартфоне, так и на внешних носителях. Следует отметить, что в отличие от ряда других подобных приложений, у Вацап нет функции звонков на смартфоны или стационарные телефоны вне зависимости от их местоположения. Любые сообщения могут отправляться лишь абонентам WhatsApp.

Сегодня WhatsApp — один из лидеров среди приложений для общения, весьма популярный в западном мире. Он оснащен современными функциями шифрования переписки и живого общения, которые включены по умолчанию, более того, у пользователя нет возможности их отключить. Также мессенджер можно установить на ПК (в том числе, пользоваться через браузер), чтобы не отвлекаться на смартфон во время работы.

Выберите свою версию WhatsApp для скачивания:

Iphone

Nokia S40

Symbian

Windows Phone

BlackBerry

В продолжение направления публикаций исследований нашей компании о внутренних механизмах крупнейших в мире мессенджеров. Сегодня будем смотреть на WhatsApp в его актуальном состоянии. На самом деле внутренности не сильно изменились за последние три года, изменения там скорее косметические. В этой статье мы подробно посмотрим как можно изучать протокол работы мессенджера, ответим на вопрос «может ли WhatsApp читать нашу переписку?» и приложу весь необходимый код на языке PHP.

Общая информация

В качестве формата сообщений WhatsApp использует доработанную версию протокола XMPP. Все сообщения сжимаются посредством замены часто используемых слов на 1 или 2 байтные токены (например вместо «message» — записываем байт 0x5f), таким образом получается то, что названо FunXMPP. Некоторые пакеты могут быть дополнительно сжаты zlib. Полученный пакет шифруется AES GCM 256-бит и передаётся на сервер. Для получения ключей шифрования клиент выполняет хэндшейк noise protocol. Вот здесь хорошо описано. От воплощения в коде все разработчики открытых реализаций почему-то отказались и повесили плашку «end of support», мы это поправим. При первом подключении выполняется полный хэндшейк. После успешного подключения к серверу каждый раз выдаётся новый ключ для следующей сессии, при помощи которого в дальнейшем выполняется подключение без обмена ключами. WhatsApp поддерживает сквозное шифрование с использованием libaxolotl (Signal Protocol), в коде реализованы две версии — сначала они просто сделали шифрование, а потом добавили выравнивание и назвали это v2. Тут есть только одна проблема — т.к. это централизованная система, то и передача ключей идёт через сервера WhatsApp, так что чисто технически нет никаких препятствий для разработчиков мессенджера передать подставные ключи шифрования и полностью читать переписку. Но это не имеет обратной силы, — прочитать сообщения задним числом не получится. Кстати, при получении сообщения от не авторизованного контакта — в мессенджере отображается кнопка «пожаловаться на спам», нажав на неё мы не только заблокируем контакт, но и перешлём по защищенному каналу (уже в открытом виде!), текст сообщения. Без изучения кода приложения целиком нет возможности гарантировать, что этот функционал не используется в каких-либо других случаях. Для проверки аутентичности ключей шифрования в приложении WhatsApp можно зайти в карточку контакта, выбрать пункт «Шифрование», после чего приложение предложит просканировать QR-код на устройстве получателя. Таким образом, кстати, можно сделать кастомное приложение на базе протокола WhatsApp, которое будет постоянно следить за статусом ключей шифрования и выдавать красивые плашки «АНБ следит за вами» или «Вы в безопасности»: учитывая многообразие мессенджеров, — заменить один из них на такое приложение будет даже полезно. Алгоритм работы можно предположить следующий: устройство отображающее QR-код кодирует в него свой публичный ключ, устройство считывающее QR-код сверяет ключ с имеющемся в своей базе данных. Это безопасный способ верификации ключа, но только при отсутствии закладок в приложении. При отправке мультимедиа файлы загружаются на сервера WhatsApp, мы не проводили дополнительные исследования шифруются ли они там. Скорее всего не шифруются, т.к. разработчик приложения себе доверяет, а ссылка на файл передаётся по защищенному сквозным шифрованием каналу.

Регистрация учетной записи

Регистрация проходит в три https-запроса на домен v.whatsapp.net (их можно подсмотреть любым известным способом, например burp или mitmproxy, в приложении используется certificate pinning, который обходится при помощи ssl kill switch).v.whatsapp.net/v2/exists?cc=код_страны&in=телефон&id=id_устройства&lg=en&lc=zz не делает ничего полезного, раньше, скорее всего, служил для проверки не зарегистрирован ли уже этот номер (скорее всего до момента, пока кто-то не стал перебирать их базу)v.whatsapp.net/v2/code?method=sms&cc=код_страны&in=телефон&token=токен&sim_mcc=mcc&sim_mnc=mnc&id=id_устройства&lg=en&lc=zz&параметры_сквозного_шифрования Собственно запрашивает код sms активации. Так же может использоваться аналогичный запрос для получения звонка. Параметры сквозного шифрования не обязательны, — их можно настроить при дальнейшем подключении. Токен получается так:

md5("0a1mLfGUIBVrMKF1RdvLI5lkRBvof6vn0fD2QRSM" . md5("21752") . "телефон")

Первая строка — это зашифрованная строка landscape, что бы это не значило. Версию приложения (21752) можно подставить любую (самые любопытные могут попробовать зарегистрироваться ещё не вышедшей версией), в самом коде приложения хэш от версии зашит готовый, но что-то похожее на md5-хэш довольно быстро подбирается.v.whatsapp.net/v2/register?cc=код_страны&in=телефон&code=код_из_смс&id=id_устройства&lg=en&lc=zz Этот запрос, соответственно, подтверждает регистрацию с кодом полученным по смс или звонку. В запросах используется User-Agent: WhatsApp/2.17.52 iPhone_OS/7.1.2 Device/iPhone_4. Правильный агент скорее всего обязателен, для корректной верификации токена.

MITM

Всё это известно не первый день, — есть несколько реализаций протокола WA16 (Chat-API, Yowsup), от текущего WA20 отличие заключается по-сути только в Noise Protocol. Обладая этой информацией мы можем разработать локальный MITM для просмотра расшифрованного трафика приложения. Т.к. изначально протокол приложения XMPP — то всё что там происходит будет вполне понятно сразу из расшифрованного трафика, поэтому погружаться в дебри дизассемблера особой нужды нет. Для запуска MITM — мы представимся настоящим сервером WhatsApp, выполним полный хэндшейк, после чего наше приложение будет прослушивать трафик перенаправляя его на оригинальный сервер whatsapp и обратно. Для этого нам понадобится изменить оригинальное приложение: Все операции проводятся в следующей конфигурации: iPhone 4, iOS 7.1.2, IDA 7, WhatsApp 2.17.52.

Патчим приложение

1. Мы будем выполнять полный хэндшейк при каждом подключении, это существенно упростит нам жизнь. В методе -[NoiseHandshakeManager initWithLoginPayload:clientStaticKeyPair:serverStaticPublicKey:] при наличии serverStaticPublicKey выполняется ResumeHandshake, а при отсутствии FullHandshake.

В регистре R0 как раз хранится serverStaticPublicKey и при его отсутствии выполняется переход к FullHandshake. А мы сделаем этот переход безусловным. Для этого заменим два байта на Результат В декомпиляторе видим, что одна из веток условия стала недостижимой и не отображается. 2. Мы отключим проверку подписи сервера, т.к. у нас нет закрытых ключей оригинального сервера. Без этого изменения прослушать трафик будет невозможно. Для этого внесём изменения в метод (bool)-[NoiseHandshakeManager validateNoiseCertificate:serverHandshakeStaticPublicKey:]. Нам необходимо чтобы функция всегда возвращала единицу. Сейчас результат проверки сертификата из регистра R6 кладется в R0. Сделаем так чтобы в R0 записывалась единица В результате получаем Приложение собрано со всей отладочной информацией, поэтому дополнительно выполнять переименования, описывать структуры и вообще выполнять процесс реверсинга — при создании патча фактически не требуется. Изображения приведены сразу после запуска декомпилятора, без дополнительной обработки. iOS 7.1.2 не проверяет аутентичность бинарных файлов приложений, поэтому все изменения можно сделать прямо в файле приложения. В более поздних версиях iOS можно сделать эти же изменения в памяти запущенного приложения.

Пишем код…

Далее при помощи IDA и долгих кропотливых усилий подготавливаем код успешно выполняющий NoiseHandshake на серверах WhatsApp. Затем реализуем фейковый сервер — делаем все те же операции шифрования, но в обратном порядке (звучит просто, но если не занимаешься этим каждый день — та ещё головная боль). Готовый код лежит здесь. Скачиваем на компьютер приложение MITM полученное по ссылке выше. Устанавливаем PHP 5.6 (подойдёт и другая версия, в моей конфигурации использовалась именно эта версия). Так же понадобится ещё две библиотеки: — первая — вторая

Перехватываем соединение

Остаётся только заставить приложение подключаться к нашему серверу, вместо настоящего. Приложение выполняет подключение к одному из серверов e%d.whatsapp.net (где %d — число от 1 до 16, например e5.whatsapp.net), каждый из которых резолвится на несколько IP-адресов, каждый раз — разных, в сумме больше 300 серверов. Проще всего будет подменить DNS-ответ сервера и направить его на наш компьютер с MITM. Для этого помещаем телефон и компьютер в одну сеть (буквально любой маршрутизатор wifi подойдёт), на телефоне выставляем DNS на наш компьютер на котором устанавливаем bind9 со следующим хостом:

$TTL86400 @INSOAns.whatsapp.net.admin.whatsapp.net. ( 2017100500 28800 7200 1209600 86400) @INNS@ @INAВАШ_АЙПИ vINA184.173.136.86 vINA174.37.243.85 *INCNAME@ 

Смотрим трафик

Далее отредактируем mitm.php — нужно подставить свой номер телефона в поле username и содержимое файла cck.dat (находится в директории с приложением) в поле password. Запускаем php mitm.php. Запускаем приложение WhatsApp и видим следующую картинку: На скриншоте видно два пакета от сервера — сообщение об успешной авторизации и какие-то настройки. Таким образом выглядит абсолютно весь трафик приложения, — всё читабельно и дополнительно разбирать приложение, в большинстве случаев, не требуется. Алгоритм превращения FunXMPP в читаемый текст есть во всех библиотеках работы с WhatsApp. Внутри простейшая машина состояний, дополнительно расписывать его здесь не буду.

Выводы

Приложение сделано качественно, использует современные протоколы шифрования, однако глубоко внутри лежит XMPP оставшийся от изначально используемого ejabberd. Использовать protobuf, судя по текущему вектору развития приложения, — было бы логичнее, однако историческое наследие слишком дорого. Сервис долгое время сильно страдал от массовых рассылок, — код открытых проектов широко этому способствовал. На данный момент уже давно не приходило никаких рассылок, — разработчики ввели ограничение на количество отправляемых сообщений не авторизованным контактам. Именно это дополнение (технически реализуемое полностью на стороне сервера), на мой взгляд, решительно поставило точку в противостоянии любителей рассылок и работников отдела по борьбе с рассылками (если у них такой есть). Чисто технически нет ничего сложного в таком алгоритме, разработчикам других мессенджеров (привет, Viber, — получаю спам не реже раза в месяц), — стоит взять этот приём на заметку. Спасибо за прочтение, надеюсь читать про это было так же весело и интересно, как и проводить исследование.ПОСофтИнтернетВеб-сервисыТехника09.03.2021, Вт, 09:45, Мск , Текст: Эльяс Касми

WhatsApp готовится к отключению поддержки платформы iOS 9 – она исчезнет в одной из следующих стабильных сборок мессенджера. Он перестанет работать на iPhone 4, iPad mini, iPad 2 и более ранних устройствах. Большинство других популярных мессенджеров достаточно давно отказались от поддержки iOS 9 – им нужна минимум iOS 11.

WhatsApp распрощается с iOS 9

Мессенджер WhatsApp очень скоро может перестать работать на некоторых смартфонах компании Apple. По информации профильного портала WABetaInfo, в одной из следующих его стабильных сборок будет отключена поддержка платформы iOS 9.

Отсутствие поддержки iOS 9 специалисты WABetaInfo обнаружили в WhatsApp версии 2.21.5 beta. В разделе часто задаваемых вопросов на сайте WhatsApp об отмене поддержки iOS 9 информации пока нет.

Если Facebook, владеющая WhatsApp с февраля 2014 г., решится на ее отключение в стабильной сборке мессенджера, то актуальные версии приложения больше не смогут получать владельцы смартфонов iPhone 4 и 4S (и более старых), а также планшетов iPad mini первого поколения, iPad 2 и iPad 3. Под ударом окажутся и пользователи плееров iPod Touch 5, и все они больше не смогут создать новый аккаунт или повторно подтвердить существующие профили.

Сроки отключения поддержки iOS в стабильных сборках WhatsApp пока не назначены

Другими словами, в случае переустановки приложения или попытки активации нового аккаунта на устройстве под управлением iOS 9 мессенджер перестанет работать.

Невелика потеря

Премьера iOS 9 состоялась в июне 2015 г., а первые устройства на ее основе появились в сентябре 2015 г. На момент публикации материала система признана устаревшей – Apple продвигает iOS 14 и готовится к анонсу iOS 15 летом 2021 г.

Система iOS 9, с момента выхода которой прошло около пяти с половиной лет, больше не получает обновления. Последний крупный апдейт до версии 9.3.5 она получила еще в августе 2015 г., однако в июне 2019 г. Apple пришлось выпустить для нее мини-патч 9.3.6, устраняющий нестабильную работу GPS на устройствах под ее управлением.

Устройств на базе старых iOS почти не осталось

Согласно StatCounter, в марте 2021 г. на долю всех версий iOS ниже 12,4 приходилось 16,85% всех активных мобильных устройств Apple – iPhone, iPad и iPod Touch. Портал david-smith.org приводит более детальную статистику – по его данным, из 100% iPhone на iOS 9.x в марте 2021 г. работало лишь 0,1% устройств. В стане iPad доля iOS 9.x была значительно выше – здесь она достигала 4,5%.

Подобное случалось и раньше

Отключение поддержки некогда популярной платформы, которой некогда пользовались сотни миллионов людей по всему миру, для WhatsApp постепенно становится традицией. Около года назад, в начале февраля 2020 г., мессенджер перестал работать на устройствах под iOS 8, вышедшей летом 2014 г.

Устройства, получившие поддержку iOS 10

Тогда же из WhatsApp исчезла поддержка прошивки Android 2.3.7 Gingerbread. Но тут следует уточнить, что она появилась еще в 2010 г., и еще на тот момент была признана устаревшей – все без исключения смартфоны и планшеты на ее основе давно не соответствуют актуальным требованиям. В настоящее время Google распространяет Android 11 и готовится к премьере Android 12, бета-версия которой уже доступна для разработчиков.

В конце декабря 2019 г. WhatsApp утратил поддержку устройств под управлением Windows Phone – полностью устаревшей мобильной платформы, годами не получавшей обновления. Microsoft окончательно признала ее мертвой осенью 2017 г.

Устаревшие ОС разработчикам не нужны

Пока неизвестно, что побудило разработчиков WhatsApp исключить поддержку iOS 9. Также нет информации, почему они решили сделать это именно сейчас, а не несколькими годами ранее.

Так, например, основные конкуренты мессенджера достаточно давно не поддерживают не только iOS 9, но и iOS 10, и это, в первую очередь, Viber. Мессенджер заработает исключительно на устройствах под управлением iOS 11 или Android 4.2 – гаджеты с более старыми прошивками теперь «вне игры».

Signal, считающийся одним из самых защищенных мессенджеров в мире, оказался еще более требовательным к актуальности прошивки. Для работы ему необходимо наличие на устройстве ОС Android хотя бы версии 4.4 и iOS не ниже версии 11.1.

На фоне Signal, Viber и, в скором будущем, WhatsApp, Telegram имеет более широкий спектр поддерживаемых устройств. Мессенджеру Павлу Дурова, пережившему всероссийскую блокировку в апреле 2018 г. и сбросившему оковы Роскомнадзора в июне 2020 г., будет вполне достаточно iOS 9 и Android 2.3.

В феврале 2021 г. CNews писал, что до конца весны 2021 г. WhatsApp отключит текстовые сообщения на миллиардах устройств по всему миру, вне зависимости от версии их прошивки. Это случится, если владельцы гаджетов откажутся принимать новую политику безопасности, согласно которой WhatsApp даст сам себе право отправлять в Facebook расширенную информацию об аккаунтах пользователей. Она будет использоваться для улучшенного таргетинга рекламы.

Благодаря новому принципу сквозного шифрования самый популярный мессенджер в мире обещает полную конфиденциальность для всех. Однако в системе есть и недостатки.

Более одного миллиарда человек хотя бы раз в месяц обмениваются сообщениями с друзьями, родственниками и коллегами с помощью WhatsApp. Проблема: около 42 миллиардов сообщений, ежедневно проходящих через серверы WhatsApp, до сих пор мог прочитать любой, обладающий соответствующими ресурсами и необходимыми знаниями, в том числе спецслужбы и хакеры. Теперь WhatsApp, благодаря общему для системы принципу сквозного шифрования, осложнит им жизнь.

Многие пользователи, однако, сомневаются, что этот мессенджер, принадлежащий компании Facebook, сможет выполнить то, что обещает, то есть предоставить защищенное соединение, которым действительно может управлять каждый. Мы внимательно рассмотрели ситуацию и расскажем вам, насколько в реальности надежен WhatsApp.

Протокол шифрования Signal

Для шифрования сообщений WhatsApp использует протокол Signal с открытым исходным кодом (ранее протокол носил имя Axolotl), в разработке которого участвовал Мокси Марлинспайк — специалист в области кибербезопасности. Марлинспайк, обладающий великолепной репутацией в кругах IT-безопасности, является основателем организации-разработчика программного обеспечения Open Whisper Systems, которая, в частности, выпустила крипто-мессенджер Signal.

С технической точки зрения у протокола Signal речь идет об асимметричном методе шифрования с использованием открытых ключей. Пары ключей, необходимые для шифрования/дешифрования, генерируются на смартфоне уже при установке клиента WhatsApp. Когда пользователь входит в систему WhatsApp, публичные ключи сохраняются на серверах этого мессенджера. Согласно положениям технической документации, серверы WhatsApp не обладают доступом к частным ключам, поэтому они локально хранятся на смартфоне. Это означает, что пользователь не должен ни вводить ключ, ни держать его в голове: сам смартфон как бы становится ключом. WhatsApp шифрует все содержание, от простого текста до голосового сообщения. Это же положение имеет силу и для звонков с использованием сервиса. Перед обменом первыми сообщениями клиенты смартфонов собеседников путем обмена публичными ключами согласовывают общий корневой ключ и серийный ключ.

Затем на базе последнего для каждого сообщения создается собственный кратковременный ключ. Поскольку все ключи постоянно обновляются, как при использовании метода «совершенной прямой секретности» (Perfect Forward Secrecy), злоумышленник, знающий отдельные ключи, не может расшифровать ни будущие, ни предыдущие сообщения.

Так как до последнего времени отсутствовали сообщения об уязвимостях в протоколе Signal (мнимый взлом WhatsApp разработчиком антивируса Джоном Макафи был впоследствии представлен как пиар-ход), данное шифрование можно считать надежным. Однако это действует только до тех пор, пока связь осуществляется между двумя смартфонами. Уязвимое место все же существует — это веб-клиент и клиент для настольного ПК.

Начиная с прошлого года WhatsApp можно использовать на компьютере — через браузер. В мае 2016 года также были выпущены клиенты для Windows и Mac OS X. В принципе, эти приложения представляют собой тип дистанционного управления для приложения смартфона, которые «отражают» аккаунт со всем его контентом на компьютере. Для этого достаточно отсканировать с помощью приложения смартфона QR-код в веб- или десктопном клиенте. Далее компьютер создает защищенное HTTPS-соединение со смартфоном, однако не локальное, например, через беспроводную сеть, а через Интернет.

Веб-клиент как «слабое звено»

Для сквозного шифрования это представляет собой большую проблему. Если верно, что, как указано в документации к мессенджеру WhatsApp, сервер не имеет доступа к частным ключам пользователя, то это же условие имеет силу и для веб- или десктопных клиентов, которые синхронизируются со смартфоном через сервер WhatsApp. Это означало бы, что сквозное шифрование сообщений между этими клиентами и приложением смартфона прекращено и заменено более слабым транспортным шифрованием, представляющим собой уязвимое место для так называемых атак «человек посередине» (Man-in-the-Middle).

В другом возможном сценарии, при котором связь между приложением смартфона и удаленным клиентом была зашифрована по методу сквозного шифрования, частные ключи пользователя должны были бы передаваться через Интернет. Так как при этом они могли бы быть перехвачены, это означало бы катастрофический крипто-провал.

Разработчики WhatsApp молчат по этому вопросу: веб- и десктопные клиенты не упоминаются в документации, и на соответствующий запрос от Chip не было получено ответа. Не имеет значения, какой сценарий применяется для внешних клиентов: тот, кто придает большое значение сквозному шифрованию, не должен вмешиваться в процесс.

Нет ничего проще

Что касается удобства шифрования, то здесь WhatsApp все делает правильно — проще вряд ли получится. Для включения сквозного шифрования оба собеседника (или, в случае группового чата, все участники) должны обновить приложение до последней версии.

Поскольку WhatsApp периодически выпускает обязательные обновления, повсеместное распространение сквозного шифрования является лишь вопросом времени. Однако все варианты WhatsApp, независимо от операционной системы, поддерживают шифрование. Тот, кто хочет знать, использует ли шифрование его приложение, может проверить это в настройках аккаунта, в пункте «Шифрование». Использует ли шифрование собеседник, можно узнать в контекстном меню чата, в пункте «Посмотреть контакт | Шифрование».

Существует дополнительная опция верификации публичного ключа собеседника, посредством сканирования обоими пользователями QR-кода с дисплея смартфона другого человека. Для этого необходимо выбрать контакт в списке контактов, далее нажать на кнопку с изображением трех точек в верхнем правом углу экрана, перейти в «Посмотреть контакт | Шифрование» и следовать указаниям программы (см. стр. 53).

Наряду с шифрованием собственно содержания сообщений WhatsApp также шифрует метаданные и сведения о личностях собеседников и длительности их общения. Эти данные передаются, однако, с использованием не сквозного, а транспортного шифрования, для «сокрытия от неправомочных сетевых наблюдателей», как это названо в документации. Говоря проще, это означает, что WhatsApp и, вероятно, также материнская компания Facebook, имеют доступ к этим данным.

То, что социальная сеть «не дружит» с защитой данных, достаточно широко известно. WhatsApp, кажется, тоже не придает большого значения информированию пользователей о том, что происходит с их данными. В частности, пользовательское соглашение с WhatsApp на официальном сайте доступно пока только на английском языке.

В WhatsApp также не следует путать шифрование с анонимностью. Тому, кто придает этому факту большое значение или не желает предоставлять компании Facebook доступ к личной адресной книге, следует обратиться к альтернативным крипто-мессенджерам.

Альтернативные крипто-мессенджеры

Большинство альтернатив мессенджеру WhatsApp пока не столь популярны, зато зачастую предлагают даже более широкие возможности. Недоверчивые могут использовать альтернативы для обмена важными данными, например, для деловой переписки. Мы представляем три таких мессенджера:

Signal (ранее TextSecure)

Представляет собой бесплатный мессенджер с открытым исходным кодом для Android и iOS, разработанный компанией Open Whisper Systems. Наряду с зашифрованными текстовыми сообщениями и телефонными разговорами также можно обмениваться незашифрованными SMS и MMS. Для сквозного шифрования применяется протокол Signal, используемый и в WhatsApp. С апреля 2016 года доступна бета-версия клиента для настольных компьютеров.

Telegram

Бесплатный и не содержащий рекламы мессенджер, доступный для всех основных платформ. Наряду с обычной функцией обмена сообщениями, в нем также существует возможность передачи сообщений со сквозным шифрованием в так называемых «тайных чатах». Telegram был разработан основателем социальной сети «ВКонтакте» Павлом Дуровым. Однако, согласно его собственному высказыванию, мессенджер не связан ни с сайтом «ВКонтакте», ни с Россией. Штаб-квартира компании расположена в Берлине.

Threema

Как и Signal, передает все сообщения с использованием сквозного шифрования. Наряду с текстами можно отправлять изображения, видео, местонахождение, голосовые сообщения и присоединяемые файлы размером до 20 Мбайт. Сервера Threema, как и главный офис компании, расположены в Швейцарии. Приложение доступно для Android, iOS и Windows Mobile, его стоимость составляет 179 (Android) и 229 рублей (iOS). Кроме того, разработан вариант мессенджера (Threema Work), адаптированный для предприятий.

ФОТО: Juliane Weber

Поделиться ссылкойИспользуемые источники:

• https://w-hatsapp.ru/gde-nahodyatsya-servera-whatsapp.html
• https://whatsap-com.ru/
• https://habr.com/post/339224/
• https://www.cnews.ru/news/top/2021-03-09_whatsapp_ostavit_bez_svyazi_polzovatelej
• https://ichip.ru/kak-obezopasit-sebya-v-whatsapp.html