Она позволяет хакерам получить полный доступ ко всему, что находится на телефонах пользователей, предупредил Дуров и посоветовал удалить приложение.
Новые бреши
Чтобы получить полный доступ к телефонам пользователи WhatsApp, хакерам достаточно отправить им вредоносное видео или совершить видеозвонок. Это стало возможным благодаря проблеме в системе безопасности, раскрытой WhatsApp на прошлой неделе, рассказал Дуров в своем Telegram-канале.
В сентябре WhatsApp действительно сообщил, что обнаружил две критические уязвимости в безопасности (CVE-2022-36934 и CVE-2022-27492). Первая позволяет хакерам запускать удаленное выполнение кода с помощью видеозвонка, а вторая — через вредоносный видеофайл.
Позже WhatsApp отчитался, что устранил обе ошибки: они исправлены в более поздних версиях приложения. Но Дуров утверждает, что пользователи не будут в безопасности, даже обновив мессенджер. Он напомнил, что подобные уязвимости уже находили в 2018-м, 2019-м и 2020-м годах. При этом до 2016 года в мессенджере вовсе отсутствовало шифрование.
«Каждый год мы узнаем о какой-то проблеме в WhatsApp, которая ставит под угрозу все устройства пользователей. Это значит, что в системе наверняка уже существует новая брешь», — написал основатель Telegram.
Дуров отметил, что не подталкивает никого переходить в Telegram. По его словам, у площадки более 700 млн активных пользователей и 2 млн новых регистраций каждый день — она не нуждается в дополнительном продвижении. Но добавил, что сам удалил WhatsApp со всех устройств много лет назад: «Вы можете использовать любой мессенджер, который вам нравится, но держитесь подальше от WhatsApp, поскольку он является инструментом слежки вот уже 13 лет».
В марте 2020 года Telegram впервые обошел WhatsApp по объему трафика. Мессенджер Дурова стал самым популярным в России после блокировки нескольких иностранных платформ. Его доля среди мессенджеров выросла с 48% до 63%.
При этом в августе общее количество посещений Telegram превысило 253 миллиона, из них 20,4% — из России, следует из данных Similarweb. При этом число посещений WhatsApp составило 3 миллиарда.
Что не так с WhatsApp
В мае 2018 года неизвестные взломали телефон (на тот момент) богатейшего человека планеты и основателя Amazon Джеффа Безоса. Вирус отправили через сообщение в WhatsApp с номера наследного принца Саудовской Аравии Мухаммеда бин Салмана, писал The Guardian.
Представители Meta*, которая владеет мессенджером, в ответ на обвинения заявила, что взлом стал возможен не из-за WhatsApp, а из-за проблем с безопасностью iOS. Это предложение отверг Павел Дуров, объяснив причины взломов в колонке на Telegraph.
По мнению Дурова, такие ошибки в системе WhatsApp неслучайны: они заложены в бэкдорах — намеренно созданных разработчиком дефектах, позволяющих ему получить доступ к данным или удаленному управлению смартфоном. В колонке Дуров, по сути, напрямую обвинил WhatsApp в сотрудничестве со спецслужбами.
Издание TechСrunch отмечает, что новая ошибка в системе (обнаруженная в сентября) похожа на ту, что нашли в 2019 году. Тогда уязвимость мессенджера позволила хакерам установить на телефоны 1400 пользователей вредоносный софт Pegasus. В этот раз ответственность за утечку данных Meta* возложила на разработчика ПО NSO Group, которого связывают с разведкой Израиля.
«WhatsApp устарел»
Об уязвимостях WhatsApp известно давно: мессенджер каждый раз латает дыры, но сама его архитектура изначально выстроена неправильно, говорит эксперт по кибербезопасности Павел Мясоедов. Это необходимо поправить, но WhatsApp не может этого сделает из-за своей неповоротливости, считает он.
При этом эксперт признает, что подобные «дыры» есть почти во всех популярных мессенджерах. «Дуров тут не открывает Америку, хотя для обывателя это может звучать как сенсация», — отмечает эксперт.
По его словам, периодически критикуя конкурентный мессенджер, Дуров в том числе занимается пиаром собственного продукта, старается акцентировать на сильные стороны Telegram. Но назвать Telegram панацеей от взломов и прослушек, нельзя, добавил он.
«Да, в нем есть секретные чаты с высокой защитой, где сама технология построена так, что ее сложно взломать. Но многие пользователи о них не знают. А если мы общаемся в обычном чате, сообщения так же “гуляют” по серверам, и как используется эта информация, неизвестно», — говорит Мясоедов.
Факт остается фактом: серьезные бреши безопасности в WhatsApp находят ежегодно, а в Telegram за все время его существования ни одной такой дыры найдено не было, говорит ведущий аналитик Mobile Research Group Эльдар Муртазин.
«WhatsApp устарел. Пользоваться им в 2022 году...., это надо либо иметь там важные контакты, либо быть человеком очень консервативным», — отметил он.
По мнению Муртазина, у основной массы пользователей WhatsApp вопрос безопасности данных вряд ли стоит на первом месте. «У них вряд ли есть, что красть. Поэтому им все равно, чем пользоваться».