Павел Дуров заявил, что всем нужно срочно удалить WhatsApp со смартфонов и других устройств. WhatsApp не только не защищает ваши сообщения – это приложение постоянно используется в качестве трояна для слежки за фото и сообщениями, которые не относятся к трафику самой программы.

Не поняли? Дуров говорит о том, что WhatsApp сканирует ваш телефон на предмет нахождения на нем различных «интересных» файлов, и потом тырит эти файлы, заливая их на сервера WhatsApp.

Дуров утверждает, что Facebook был частью программ слежки за пользователями задолго до того, как купил WhatsApp. Так что неудивительно, что и сам Вацап стал себявести так. Разработчик Telegram подчеркнул: все баги, которые находят в WhatsApp, идеально подходят для слежки за пользователями.

В мае 2019 года эксперты по кибербезопасности нашли в системе голосовых звонков WhatsApp дыру, которую использовали для слежки за активистами. Работало это и на Android, и на iOS.

Считается, что троян для слежки разработала израильская компания NSO Group. Он позволял установить на смартфон с WhatsApp шпионские приложения.

Чтобы взломать смартфон, хакеры просто звонили жертве по WhatsApp. Приложение автоматически принимало звонок – без ведома владельца! Затем на смартфон загружали шпионское ПО для кражи данных. Записи о звонках удалялись, чтобы никто ничего не заподозрил.

В WhatsApp проблему признали. Разработчики сравнили код вредоноса с другими разработками NSO Group и пришли к выводу, что почерк действительно один и тот же.

На чем зарабатывает израильская NSO Group? Главный продукт компании – Pegasus. Это софт, который способен включать камеру и микрофон смартфона, просматривать e-mail и сообщения, собирать данные о геолокации.

Основные заказчики Pegasus – спецслужбы Среднего Востока, США, Западной Европы и других регионов. Формально софт используют с подачи правительства, чтобы противостоять терроризму и предотвращать преступления.

Когда о проблеме с WhatsApp стало известно всем, в NSO Group развели руками. Дескать, мы проверяем всех клиентов и расследуем случаи злоупотребления. Не мы охотимся за правозащитниками, а значит, мы ни в чем не виноваты и ничего не нарушили.

Забавно другое: после выхода патча адвокат из Лондона заявил об атаке, похожей на использование софта NSO Group. Он защищал саудовского диссидента и мексиканских журналистов, которых ранее также атаковали с применением того же софта.

WhatsApp был изначально полон дыр в безопасности

Например, в 2011-2012 годах доступ к вашей переписке в WhatsApp могли получить даже мобильные провайдеры и администраторы Wi-Fi точек. Ключи шифрования одно время можно было подменить прямо в чате. Вряд ли тестировщики компании этого не замечали.

Когда внедрили стандартное шифрование, ключи сделали доступными некоторым правительствам. Но резервные копии данных, которые настойчиво предлагали сохранять в облаке, никто не шифровал.

Сквозное шифрование, которое интегрировали в апреле 2016 года и которое используется сегодня, тоже не спасает от кражи данных. Например, разработчики признали, что бекапы на Google Drive загружали без шифрования.

Да, метаданные разговоров мессенджер тоже передавал властям. Из них можно понять, когда и с кем вы общались.

А ещё в 2013 году исследователи установили, что WhatsApp копировал все мобильные номера телефонов из адресной книги на свои сервера. Формально чтобы показать, кто из них уже установил WhatsApp. Реально… с этими данными можно было сделать что угодно. Причем на сервера WhatsApp попали и номера пользователей, которые не устанавливали приложение. К тому же при отправке использовалась ненадежная схема. Расшифровать данные даже на домашнем ноутбуке можно за три минуты.

WhatsApp – мессенджер с закрытым исходным кодом. В целом для коммерческих приложений это нормально. Но продукты с открытым исходным кодом внушают больше доверия.

В WhatsApp вы не можете посмотреть, чем новая версия отличается от предшественницы. Не можете проанализировать код и найти бэкдоры.

Специалисты ищут уязвимости в WhatsApp, исходя из поведения готового продукта. Это не дает увидеть полной картины.

Более того: разработчики WhatsApp обфусцируют код. Его специально запутывают, чтобы усложнить анализ.

Скорее всего, это сделано по требованию спецслужб. От WhatsApp и материнской компании Facebook могли потребовать оставить в ПО бэкдоры. И если компании отправили приказ ФБР о неразглашении (так называемый Gag order), Цукерберг даже общественности пожаловаться не может.

В марте, после скандала с Cambridge Analytica, сооснователь WhatsApp Брайан Эктон призвал удалить Facebook и другие продукты компании, включая и WhatsApp. Действительно: если компания признала, что годами хранила сотни миллионов паролей от Instagram в виде простого текста (!!!), то от неё всего можно ожидать. Данные были доступны 2 тыс. разработчиков. Мог ли кто-то слить эти данные? Риторический вопрос.

Новый громкий скандал с WhatsApp начался 3 октября. Уязвимость угрожает WhatsApp (версии до 2.19.244) на Android, начиная с 8 версии. Работает это так:

Хакер отправляет жертве GIF-файл: как документ или просто в чате, если злоумышленник в контакт-листе жертвы. Во втором случае GIF даже автоматически загрузится.
Когда жертва захочет отправить кому-нибудь медиафайл, она нажмет на значок со скрепкой и откроет галерею для выбора файла.
WhatsApp показывает в галерее превью медиафайлов. Это послужит триггером и запустит вредонос.
Profit! Теперь хакер может запускать на смартфоне жертвы произвольный код.

В WhatsApp 2.19.244 проблему решили. Но 14 ноября эксперты нашли ещё одну дыру (и в Facebook её признали). Баг есть в WhatsApp до 2.19.274 для Android и в iOS-версии до 2.19.100.

Разработчики раскрыли не слишком много подробностей. Лишь отметили, что уязвимость связана с тем, как WhatsApp анализирует метадату mp4-видеофайлов. Если баг эксплуатировать, можно добиться выполнения на смартфоне произвольного кода.

PS. Как я уже говорил, WhatsApp имеет отвратительный код, сплошь состоящий из косяков и костылей.

Главное, что надо понимать про вацап на андроиде — ты меняешь ему настройки, а ему похрен, потому что он крутится в памяти и новые настройки перечитывать ему лень. После каждого изменения настроек его надо прибить, и потом запустить заново — вот тогда он настройки прочитает как следует.

Как только ты это осознаешь — дела с настройкой вацапа пойдут на лад.

И да — на целой куче телефонов (не только Хуавее) у него странности с загрузкой контактов. То есть такое ощущение, что он отправляет контакты куда-то на свои сервера, а потом оттуда их начитывает к себе в активную книжку. И весь процесс занимает 5-10 минут. Это вызывает поразительные эффекты.

Но лично у меня после такого нет никакого желания пользоваться этим гогнокодом. Если там косяки на таком элементарном уровне — от этой параши можно ждать чего угодно. Его запретят в РФ — и правильно сделают.

Вообще заметно, что вацап исходно писан под винду. А потом его кое-как подшаманили на мобильные платформы — но очень кое-как, и поэтому то, что под виндой работало ОК, под андроидом работает странно и нелогично.

Например, для приема уведомлений вацап желает болтаться в памяти целиком, поэтому типичная ситуация в Андроиде — менеджер нагрузки его просто снимает (переводит в спящее состояние), после чего никаких уведомлений и звонков он уже не принимает. Тебе долбятся абоненты — а ты об этом и не подозреваешь.

Или другая ситуация — приложение пока крутится и уведомление принимает, но не показывает в полосе уведомлений и тем более на экране блокировки телефона. Потому что эта гогнопрограмма даже не подозревает, что для этих действий надо запрашивать специальные пермишны у системы безопасности телефона. И это понятно — индусы в бангалоре как написали эту х#рь во времена андроида-4, так с тех пор и забыли.

Да чо там уведомления — это гогно даже забывает запрашивать доступ к микрофону для записи голосовых заметок.

Все эти проблемы можно решить ручными настройками — но знаете, мне не доставляет удовольствия после этого наблюдать, как эта криво написанная байда постоянно крутится в памяти телефона и жрет батарею как не в себя.

У вацапа на андроиде регулярно слетает экранная клавиатура, если это не стандартная клавиатура Гугеля. Да эти дегенераты даже кэш вацапа не отслеживают — он только раздувается и никогда не чистится, и когда у телефона кончается свободная память, вацап начинает весело глючить, и надо лезть в настройки и руками стирать кэш вацапа.

Или, например, в WhatsApp скрывается брешь, которая позволяет злоумышленникам с нулевыми навыками взлома и программирования навсегда заблокировать учетную запись любого пользователя, им нужно знать лишь его номер телефона, и больше ничего, и защититься от потенциальной блокировки невозможно. Разработчики WhatsApp не спешат устранять проблему.

Отличный софт. От других. Причем в худшую сторону.

При этом в июне 2020 г. стало известно, что некоторые номера телефонов, привязанных к пользовательским профилям в WhatsApp, в течение длительного времени находились в открытом доступе и даже попали в поисковую выдачу Google. В общей сложности при помощи Google можно было найти номера и личные данные около 300 тыс. пользователей мессенджера, и эта проблема носила глобальный характер.

Мой вам совет — для видео и голосовых звонков используйте Skype Lite, если он у вас заработает. Он легкий, жрет мало батарейки, и у него наилучшее качество видео и звука при плохих каналах — он даже при интернете через 2G сети работает.

Ну а для текстового общения и пересылки файлов — Телеграмм Паши Дурова. Он действительно хорош для этого. И если не превращать его в помойку из новостных каналов — для общения он весьма ОК.