Навіщо шифрувати повідомлення та дзвінки?
А саме для цього і потрібне шифрування. Цей механізм шифрує всі дані і навіть якщо хтось зможе їх перехопити — не зможе їх прочитати і використовувати. Про перехоплення трафіку я трохи розповідав у своїй нещодавній. Шифрування захищає нас від MITM-атак, яку нескладно організувати спецслужбам чи іншим органам, просто звернувшись до провайдера. Але якщо дані, що передаються, шифруються — навіть якщо провайдер надасть доступи — ніхто не зможе розшифрувати дані не маючи приватного ключа — вашого або співрозмовника. Про що йдеться на сайті підтримки Whatsapp:
Як працює шифрування в Whatsapp?
Це означає, що дані навіть якщо й проходять через сервери самого Whatsapp – вони там проходять у тому самому зашифрованому вигляді. Відповідно ніхто, крім учасників чату, не зможе їх прочитати.
Як увімкнути шифрування Whatsapp?
Воно включено за замовчуванням, достатньо оновити версію програми до тієї, де фіча вже включена.
Після чого у вас з'явиться таке повідомлення у чаті, де в обох учасників версія із шифруванням:
Якщо клацнути на цьому повідомленні, з'явиться пояснення та кнопка, через яку можна перевірити шифрування. При цьому потрібно просканувати QR коди на телефонах один одного. Ця можливість дозволяє лише перевірити, на включення та відключення шифрування воно ніяк не впливає. Більше того, відключити його неможливо.
Останнім часом WhatsApp став одним із найпопулярніших месенджерів не тільки в Росії, але й у всьому світі. За допомогою нього зручно вести листування, надсилати дані, здійснювати дзвінки. І звичайно ж, будь-який користувач хоче бути впевненим, що його дзвінки ніхто не зможе прослухати, листування прочитати, а файли будуть доступні тільки йому і співрозмовнику. Саме тому не варто упускати з уваги такий параметр, як безпека.
Рівень безпеки у WhatsApp. Захищеність інформації
Насамперед безпека – це конфіденційність, доступність та цілісність інформації. Компанія-розробникповинна давати впевненість своїм користувачам, що всі ці три параметри безпеки функціонують на належному рівні.
У плані безпеки WhatsApp має дуже багату історію. Декілька років тому з'ясувалося, що спочатку, коли програма тільки вийшла в реліз, безпека Ватсап здійснювалася лише за рахунок хешування пароля за допомогою алгоритму MD5. Тобто. зломщик майже не докладаючи жодних зусиль міг легко отримати пароль користувача . Виправити свою репутацію розробники вирішили співпрацею з криптографічноїфірмою Open Whisper Systems.
В даний час Ватсап використовує безпечну технологію шифрування даних так зване наскрізне шифрування. Для тих, хто не знає, що таке, спробуємо пояснити на простих словах.
Уявимо, що існує два користувача Діма та Коля. І у Діми та у Колі генерується по два ключі. Перший ключ (відкритий) призначений для зашифрування повідомлень, а другий (закритий) для зворотного процесу – розшифровування. Відповідно відкритий ключ знаходиться у відкритому доступі, тобто його може переглянути абсолютно будь-який користувач, але розшифрувати зможе тільки власник закритого ключа. Таким чином, згенерувавши по парі ключів, Діма та Коля починають захищене спілкування, оскільки ключ для розшифровки є тільки у автора послання та його одержувача. 
Однак, незважаючи на те, що безпека в Ватсап здійснюється за рахунок наскрізного шифрування, WhatsApp безпека знаходиться не зовсім на належному рівні. Наприклад, Ватсап не захищений від Dos-атак, але трохи у своєрідній формі. Розробники WhatsApp обмежили розмір повідомлення 6600 символами. Але якщо повідомлення міститиме 4400 смайлів, робота програми Вотсап через переповнення буфера аварійно завершиться. Єдиний спосіб позбавитися цієї проблеми на даний момент - видалити листування з таким відправником. Слід зазначити, що WhatsApp безпеку на iOS похитнути подібною атакою неможливо.
Нещодавно 15.03.2017 р. стало відомо про таку вразливість, використовуючи яку зловмисники могли захопити повну владу над акаунтом користуватися через WhatsApp Web. Так як Ватсап дозволяє відправляти різні типи даних, шкідливий код маскувався під звичайну картинку, натиснувши яку атакуючий отримує доступ до контенту користувача. Ця вразливість була актуальною не тільки для WhatsApp, але і для Telegram. Нове оновлення допомогло усунути подібний баг. 
Ще один цікавий факт. Як з'ясував фахівець компанії iOS з інформаційної безпеки, стерту історію чатів можна відновити, оскільки Ватсап не до кінця видаляє історію. Це пов'язано з тим, що месенджер використовує базу даних (БД) SQLite для зберігання листування. І коли користувач намагається видалити вибрані повідомлення, вони не видаляються , а переміщаються до так званого free list. Тобто. Ватсап надалі перезаписує поверх цих повідомлень нові. Але особливість у тому, що деякі повідомлення можуть чекати своєї черги на жоден місяць, щоб до кінця зникнути.
Більш обережними потрібно бути користувачам iOS. WhatsApp безпека несе для них додаткові ризики. Якщо користувач платформи iOS створює бекап листування на Ватсап , то SQLite зберігає незашифровану історію повідомлень на сервери Apple. Спеціаліст з інформаційної безпеки iOS рекомендує періодично видаляти Вотсап із пристрою з метою обнулення БД, а також по можливості не користуватися бекапами icloud.
Також відома ще одна вразливість. Ватсап може згенерувати нові пари ключів, якщо користувач тривалий час не був онлайн і при цьому не попередити про те, що сталося, учасників листування. Це означає, що якщо абонент надішле повідомлення користувачу, який давно не був онлайн або видалив додаток з телефону, то послання може загубитися, тобто. не дійти кінцевого одержувача.
Але наполовину цей недолік все ж таки можна виправити.
То чому ця опція виправляє ситуацію лише наполовину? Справа в тому, що Ватсап не підтримує повторне надсилання повідомлень, але може попередити відправника про те, що ключ шифрування оновився.
Пароль на WhatsApp
Іноді доводиться приховувати листування від сторонніх очей. Нижчеописаний спосіб, звичайно, не врятує ваші дані від професійних хакерів, але від тих до кого може потрапити в руки ваш телефон цілком можливо.
Програма ChatLock дозволяє поставити пароль на будь-який месенджер, у тому числі і Ватсап.
Тепер після кожної спроби входу в WhatApp система запитуватиме у користувача пароль. При невдалій спробі вхід не відбудеться.
Підбивши підсумки, не можна стверджувати, що безпека в Ватсап здійснюється на належному рівні. Як і будь-який інший месенджер WatsApp має свої недоліки. Але знаючи, які саме є вразливості у додатку, можна вберегти себе від багатьох неприємних ситуацій.
Шифрування для всіх користувачів
WhatsApp, дочірня компанія Facebook, увімкнула наскрізне шифрування повідомлень для всіх користувачів свого месенджера, повідомило видання Wired. Шифрування стосується будь-яких даних, будь то текстові повідомлення, зображення, відео, аудіо або голосові дзвінки, і працює, у тому числі, в групових чатах.
WhatsApp – найпопулярніший месенджер у світі, в якому з'явилося наскрізне шифрування. У месенджері Telegram Павла Дуроватака функція була присутня спочатку. Активна аудиторія Telegram становить близько 100 млн користувачів, тоді як у WhatsApp — близько 1 млрд. Єдиний сервіс, що дозволяє обмінюватися повідомленнями, в якому кількість користувачів перевищує 1 млрд, це соцмережа Facebook, аудиторія якої дорівнює 1,5 млрд осіб.
Наскрізне шифрування
Наскрізне шифрування (end-to-end encryption) має на увазі, що повідомлення знаходиться в зашифрованому вигляді по всьому шляху прямування від відправника до одержувача. Ключ, за допомогою якого можна розшифрувати повідомлення, знаходиться тільки у адресата. Компанія WhatsApp ним не володіє, тобто вона не зможе передати його владі, навіть якщо вони на цьому наполягатимуть.
Поетапне використання технології
Шифрування у WhatsApp з'являлося поетапно. У 2014 році компанія оснастила наскрізним шифруванням додаток для Android. Таким чином, з 2014 року користувачі вже обмінювалися зашифрованими повідомленнями, але лише в рамках однієї платформи.
Наскрізне шифрування стало доступно всім користувачам WhatsApp
Тепер воно стало доступне власникам пристроїв на платформах iOS, Windows Phone, Nokia S40, Nokia S60, BlackBerry OS та BlackBerry 10. Для того, щоб скористатися новою можливістю, необхідно встановити останню версію програми WhatsApp.
Перевірка автентичності
Користувачам WhatsApp, які встановили останню версію клієнта, буде доступна опція автентифікації співрозмовника. Для цього потрібно буде порівняти цифровий код на своєму екрані та код на екрані співрозмовника або дозволити співрозмовнику за допомогою камери на мобільному пристрої вважати QR-код з екрана користувача, що ініціює з'єднання. Після цього в чаті з'явиться позначка, що з'єднання повністю зашифроване.
WhatsApp став найбільшим месенджером із наскрізним шифруванням
Використовуваний протокол
Партером WhatsApp з впровадження нової можливості стала компанія Open Whisper Systems, розробник мобільного додатка Signal - улюбленого месенджера Едварда Сноудена(Edward Snowden), який у 2013 р. передав журналістам велику кількість секретних документів, які часто розкривають незаконну діяльність Агентства національної безпеки США, в якому він працював системним адміністратором.
Шифрування в Signal - а тепер і в WhatsApp - базується на протоколі Signal Protocol. Це асинхронний протокол із відкритим вихідним кодом. Він, у свою чергу, був створений на основі протоколу Off-the-Record (OTR) Messaging Protocol. Одна з ключових властивостей OTR - і, як наслідок, Signal Protocol, полягає в так званій "прямій секретності" (forward secrecy), яка ще називається "досконалою прямою секретністю" (perfect forward secrecy).
На відміну, наприклад, від популярного протоколу шифрування електронної пошти PGP, в якому повідомлення шифруються знову і знову одним і тим самим публічним ключем, у прямій секретності використовуються нові ключі для кожної сесії. Тому, якщо хтось роками записує зашифрований трафік, сподіваючись якось декодувати його, у разі прямої секретності він приречений на провал.
Стверджує, що всі зашифровані месенджери вразливі, і особливо Whatsapp. Матеріал наробив багато шуму, але чи так усе сумно насправді? Компанія-експерт в галузі інтернет-безпеки Open Whisper Systems стверджує, що нічого нового в The Guardian написано не було і на Вотсап "наїхали" даремно.
Минулої весни Whatsapp випустив найбільше оновлення у своїй історії - додалася функція примусового кінцевого шифрування, яка по суті означає, що ніхто, включаючи Whatsapp, не може прочитати ваше листування. Учорашнє розслідування The Guardian представляє думку експерта, який заявляє, що Whatsapp навмисне залишив "чорний хід" (backdoor) у своєму коді для можливого перехоплення повідомлень спецслужбами та іншими зацікавленими особами. Самі ж розробники Whatsapp стверджують, що це зовсім не так, і що потенційно небезпечна поведінка їхньої програми — ні що інше як полегшення життя своїм численним користувачам.
Безпека листування Whatsapp була розроблена за допомогою компанії Open Whisper Systems, тієї самої, яка розробила найбезпечніший месенджер у світі — Signal, і у своєму блозі компанія докладно описує, як усе працює. У Вотсап впроваджено Signаl-протокол (а ще він впроваджений у недавній Google Allo), який видає кожному користувачеві два ключі безпеки: публічний ключ, яким його можуть ідентифікувати інші користувачі та особистий приватний ключ, який буде закріплений на пристрої. Оскільки люди часто змінюють свої телефони і перестановлюють програми, зв'язка ключів безпеки змінюватиметься відповідно до цього. Користувачі можуть переконатися в приватності свого спілкування всередині Whatsapp, перевіряючи код безпеки на кожному пристрої, що бере участь у розмові - якщо коди збігаються, це означатиме, що перехоплення повідомлень між співрозмовниками відсутнє (такий тип атаки називається man-in-the-middle, MITM).
Матеріал the Guardian заснований на розслідуванні Тобіаса Белтера (Tobias Belter). Він стверджує, що сервер Whatsapp можна зламати на запити третіх осіб. Тобто Вотсап може згенерувати новий ключ безпеки і видати його цим третім особам поки користувачі не помітять, що щось сталося. У месенджері Signal app будь-яка підміна ключа безпеки результує у неможливість відправлення повідомлення та попередження безпеки, причому все це відбувається до того, як користувач збереться переправити повідомлення заново та самостійно. У Whatsapp користувач отримує повідомлення про зміну ключа, при цьому повідомлення буде автоматично перекодовано під новий ключ і відправлено адресату. Тобто ви тільки потім зможете з'ясувати, чи справді збігається новий ключ із вашим адресатом. При тому, що таке настроювання про попередження у вашому Whatsapp ще необхідно включити вручну:
Подібна поведінка Whatsapp у компанії Open Whisper Systems пояснюють ідеологічною простотою використання месенджера. А ще, сервери Whatsapp не знають, хто ввімкнув налаштування про попередження, а хто ні – тому спроба злому може бути швидко виявлена. У всякому разі, “адвокати” Whatsapp наполягають на тому, що таку безпекову політику можна називати як завгодно, але це не вразливість і не backdoor. Це "особливість".
Багато західних експертів з безпеки погоджуються з висновками Open Whisper Systems:
It's ridiculous that this is presentd as a backdoor. Якщо ви не знайдете keys, authenticity keys is not guaranteed. Well known fact.
Frederic Jacobs (@FredericJacobs)