Сквозное шифрование WhatsApp оказалось фикцией? Мессенджер сливал хакерам данные о наших телефонах годами
NewsMakerMeta знала, но считала это «не проблемой приватности».
WhatsApp, принадлежащий Meta , уже давно стал одной из самых удобных точек входа для кибератак. Мессенджером ежемесячно пользуются более 3 миллиардов человек, и именно такая аудитория делает его особенно привлекательным для распространения вредоносного ПО. Сквозное шифрование надежно защищает содержание переписки, однако особенности работы сервиса в многоустройственном режиме на протяжении лет позволяли получать техническую информацию об устройствах собеседника. Эти сведения оказывались достаточно точными, чтобы использовать их на этапе подготовки атак.
Любая сложная кибератака начинается с разведки. Перед тем как задействовать эксплойт, злоумышленникам важно понять, какое устройство находится на другой стороне. Отправить Android-уязвимость на iPhone не только бесполезно, но и рискованно: жертва может заметить подозрительную активность и тем самым сорвать операцию. Для профессиональных групп такая ошибка грозит куда более серьезными последствиями — от потери дорогостоящих 0-day и 0-click уязвимостей до раскрытия инфраструктуры и перечня целей.
Проблемы, связанные с утечками данных в WhatsApp, подробно описывались еще в начале 2024 года. Тогда исследователи показали, что мессенджер позволяет определить конфигурацию учетной записи — в частности, сколько устройств подключено и какие именно. Источник этой утечки находится в архитектуре сквозного шифрования при использовании нескольких устройств. Каждый девайс получателя устанавливает отдельную криптографическую сессию с отправителем, и для каждой такой сессии применяются собственные ключи. В результате подключенные устройства становятся различимыми, а сторонний наблюдатель получает возможность судить о составе этой группы.
Позднее выяснилось, что раздельные сессии можно использовать и для более точечного сценария — выбирать конкретное устройство для атаки. Вместо попытки «достать» всю учетную запись злоумышленник мог нацелиться на нужный девайс. В 2025 году исследователи пошли еще дальше и показали, что по отдельным параметрам криптографических ключей удается определить не только конкретное устройство, но и его операционную систему. Иными словами, WhatsApp фактически позволял провести fingerprinting — установить платформу цели.
WhatsApp, принадлежащий Meta , уже давно стал одной из самых удобных точек входа для кибератак. Мессенджером ежемесячно пользуются более 3 миллиардов человек, и именно такая аудитория делает его особенно привлекательным для распространения вредоносного ПО. Сквозное шифрование надежно защищает содержание переписки, однако особенности работы сервиса в многоустройственном режиме на протяжении лет позволяли получать техническую информацию об устройствах собеседника. Эти сведения оказывались достаточно точными, чтобы использовать их на этапе подготовки атак.
Любая сложная кибератака начинается с разведки. Перед тем как задействовать эксплойт, злоумышленникам важно понять, какое устройство находится на другой стороне. Отправить Android-уязвимость на iPhone не только бесполезно, но и рискованно: жертва может заметить подозрительную активность и тем самым сорвать операцию. Для профессиональных групп такая ошибка грозит куда более серьезными последствиями — от потери дорогостоящих 0-day и 0-click уязвимостей до раскрытия инфраструктуры и перечня целей.
Проблемы, связанные с утечками данных в WhatsApp, подробно описывались еще в начале 2024 года. Тогда исследователи показали, что мессенджер позволяет определить конфигурацию учетной записи — в частности, сколько устройств подключено и какие именно. Источник этой утечки находится в архитектуре сквозного шифрования при использовании нескольких устройств. Каждый девайс получателя устанавливает отдельную криптографическую сессию с отправителем, и для каждой такой сессии применяются собственные ключи. В результате подключенные устройства становятся различимыми, а сторонний наблюдатель получает возможность судить о составе этой группы.
Позднее выяснилось, что раздельные сессии можно использовать и для более точечного сценария — выбирать конкретное устройство для атаки. Вместо попытки «достать» всю учетную запись злоумышленник мог нацелиться на нужный девайс. В 2025 году исследователи пошли еще дальше и показали, что по отдельным параметрам криптографических ключей удается определить не только конкретное устройство, но и его операционную систему. Иными словами, WhatsApp фактически позволял провести fingerprinting — установить платформу цели.