Сквозное шифрование в WhatsApp: надёжная защита или иллюзия безопасности?
Дата: 11.01.2026Просмотров: 1507
Сквозное шифрование в WhatsApp: надёжная защита или иллюзия безопасности?
Мессенджер WhatsApp (принадлежит компании Meta) давно закрепился в топе коммуникационных сервисов: ежемесячная аудитория превышает 3 млрд пользователей. Такая масштабная база делает платформу лакомой целью для киберпреступников — не столько ради перехвата переписки, сколько для сбора разведданных перед атаками.
На первый взгляд, сквозное шифрование () надёжно защищает содержание сообщений. Однако архитектурные особенности многоустройственного режима (когда к аккаунту подключено несколько устройств) годами создавали лазейку для утечки метаданных об устройствах пользователей.
Как работала утечка: технический разбор
В основе проблемы — механизм установки криптографических сессий:
При отправке сообщения WhatsApp запрашивает у серверов криптографический материал для каждого подключённого устройства получателя.
Для каждого девайса формируется отдельная сессия со своими ключами.
Различия в генерации ключей на Android и iOS позволяли сторонним наблюдателям:
определять количество подключённых устройств;
идентифицировать операционную систему (fingerprinting);
выбирать конкретное устройство для атаки.
Ключевые уязвимые параметры:
Signed PK ID — ранее имел предсказуемую последовательность на Android (увеличивался раз в месяц), теперь генерируется случайно.
One‑Time PK ID — остаётся индикатором платформы: в iOS растёт постепенно, в Android использует случайные значения в 24‑битном диапазоне.
Хронология открытий и реакция WhatsApp
Начало 2024: исследователи впервые обнародовали уязвимость, показав, что мессенджер раскрывает конфигурацию учётной записи.
2025: доказано, что по параметрам ключей можно точно определить ОС устройства.
Текущие изменения: WhatsApp скорректировал поведение Signed PK ID на Android, но не устранил проблему полностью.
При этом компания:
не выпустила публичного уведомления об исправлении;
не связалась с исследователями, обнаружившими уязвимость;
не присвоила CVE‑идентификатор (стандартный маркер уязвимостей);
не выплатила вознаграждение за обнаружение бреши.
Почему это важно для кибербезопасности?
Даже при надёжном шифровании метаданные становятся ключом к атаке:
Злоумышленники экономят ресурсы, отсеивая неподходящие цели (например, не отправляют Android‑эксплойты на iPhone).
Снижается риск обнаружения: точечные атаки меньше привлекают внимание.
Сохраняется возможность масштабирования — одна уязвимость может затронуть миллионы устройств.
Выводы и перспективы
Несмотря на частичные исправления, архитектура WhatsApp по‑прежнему позволяет различать платформы. Это демонстрирует критическую роль метаданных в современных кибератаках.
Для повышения прозрачности экспертное сообщество призывает:
внедрять CVE‑идентификацию для всех уязвимостей;
публиковать отчёты об исправлениях;
развивать диалог с исследователями безопасности.
Пока же пользователям стоит помнить: даже самые защищённые мессенджеры могут иметь скрытые слабые места. Осознанный подход к цифровой гигиене остаётся лучшим щитом от угроз.
Примечание: Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь!
Российский Alice AI VLM обогнал мировые аналоги в чтении русских текстов с изображений
Российский Alice AI VLM обогнал мировые аналоги в чтении русских текстов с изображений
Визуальная языковая модель Alice AI VLM, созданная специалистами компании «Яндекс», достигла выдающихся успехов в международном сравнении инструментов обработки визуальной информации. Эта модель уверенно заняла вторую позицию в специализированном российском бенчмарке MWS Vision Bench, продемонстрировав превосходство над такими крупными международными проектами, как Gemini 2.5 Flash от Google, GPT-4.1 mini от OpenAI и Claude 4.5 Sonnet от Anthropic.
Интеграция ИИ в современные процессы SOC: практические советы и подходы
Интеграция ИИ в современные процессы SOC: практические советы и подходы
Искусственный интеллект стремительно внедряется в сферу кибербезопасности, однако многие специалисты сталкиваются с трудностями при попытке преобразовать первоначальные эксперименты в стабильную ценность для операций. Проблема заключается в отсутствии осознанного подхода к интеграции ИИ в повседневные процессы центров безопасности. Некоторые команды воспринимают его как панацею для устранения недостатков существующих процессов, тогда как другие пытаются применить машинное обучение к недостаточно четким проблемам.
Анонимайзеры: зачем нужны, как работают и почему они полезны каждому пользователю
Анонимайзеры: принцип работы и польза для каждого пользователя
Что такое анонимайзер?
Интернет прочно вошел в нашу жизнь, став неотъемлемой частью повседневности. Мы общаемся, работаем, развлекаемся и покупаем товары онлайн. Но далеко не каждый задумывается о защите личной информации и сохранении приватности в сети. Именно тут на помощь приходят анонимайзеры — специальные сервисы, позволяющие скрыть реальный IP-адрес пользователя и защитить его личные данные от посторонних глаз.