- Специальный корреспондент
Meta знала, но считала это «не проблемой приватности».
WhatsApp, принадлежащий Meta, уже давно стал одной из самых удобных точек входа для кибератак. Мессенджером ежемесячно пользуются более 3 миллиардов человек, и именно такая аудитория делает его особенно привлекательным для распространения вредоносного ПО. Сквозное шифрование надежно защищает содержание переписки, однако особенности работы сервиса в многоустройственном режиме на протяжении лет позволяли получать техническую информацию об устройствах собеседника. Эти сведения оказывались достаточно точными, чтобы использовать их на этапе подготовки атак.
Любая сложная кибератака начинается с разведки. Перед тем как задействовать эксплойт, злоумышленникам важно понять, какое устройство находится на другой стороне. Отправить Android-уязвимость на iPhone не только бесполезно, но и рискованно: жертва может заметить подозрительную активность и тем самым сорвать операцию. Для профессиональных групп такая ошибка грозит куда более серьезными последствиями — от потери дорогостоящих 0-day и 0-click уязвимостей до раскрытия инфраструктуры и перечня целей.
Проблемы, связанные с утечками данных в WhatsApp, подробно описывались еще в начале 2024 года. Тогда исследователи показали, что мессенджер позволяет определить конфигурацию учетной записи — в частности, сколько устройств подключено и какие именно. Источник этой утечки находится в архитектуре сквозного шифрования при использовании нескольких устройств. Каждый девайс получателя устанавливает отдельную криптографическую сессию с отправителем, и для каждой такой сессии применяются собственные ключи. В результате подключенные устройства становятся различимыми, а сторонний наблюдатель получает возможность судить о составе этой группы.
Позднее выяснилось, что раздельные сессии можно использовать и для более точечного сценария — выбирать конкретное устройство для атаки. Вместо попытки «достать» всю учетную запись злоумышленник мог нацелиться на нужный девайс. В 2025 году исследователи пошли еще дальше и показали, что по отдельным параметрам криптографических ключей удается определить не только конкретное устройство, но и его операционную систему. Иными словами, WhatsApp фактически позволял провести fingerprinting — установить платформу цели.
Механизм утечки оказался связан с обычной служебной процедурой. Для установки защищенной сессии отправитель запрашивает у серверов WhatsApp криптографический материал, который формируется на стороне каждого устройства получателя. Это необходимо для сохранения свойств сквозного шифрования, однако именно на этом этапе проявлялись различия в реализации на разных платформах. Некоторые идентификаторы ключей создавались по-разному, и по этим отличиям можно было определить, используется ли Android или iOS. При этом никаких действий со стороны владельца устройства не требовалось — запрос выполнялся незаметно и без каких-либо уведомлений.
Авторы исследования отмечают, что выводы о таком определении платформы были также описаны в отдельной научной работе 2025 года. Собственными наблюдениями исследователи подтверждают эти результаты с помощью внутреннего инструмента, который пока не опубликован. Используя его, они заметили недавнее изменение в логике Android-версии WhatsApp. Речь идет о параметре Signed PK ID: ранее он начинался с нулевого значения и увеличивался крайне медленно — примерно раз в месяц. Теперь это значение выбирается случайным образом.
Этот шаг исследователи оценивают положительно, поскольку ранее Meta не рассматривала это как проблему приватности, требующую исправления. В то же время уязвимость устранена не полностью. По-прежнему сохраняется возможность отличить Android от iPhone по другому параметру — One-Time PK ID. В iOS он начинается с низкого значения и постепенно увеличивается с интервалом в несколько дней, тогда как Android использует случайные значения по всему 24-битному диапазону. Ученые обновили свой инструмент, чтобы учитывать новое поведение и по-прежнему различать платформы.
Отдельные вопросы вызвал сам процесс внедрения исправления. По словам авторов, WhatsApp внес изменения без публичного уведомления, не связался с исследователями, первыми сообщившими о проблеме, не выплатил вознаграждение и не присвоил уязвимости CVE-идентификатор. Они сопоставляют эту ситуацию с другим случаем, о котором ранее сообщали мессенджеру: тогда исправление появилось, небольшую награду выплатили, но в присвоении CVE отказали, сославшись на недостаточную серьезность проблемы.
Авторы считают такой подход ошибочным. По их мнению, CVE не следует воспринимать как клеймо или признание провала — это инструмент для фиксации и обсуждения вопросов безопасности и приватности. Различия в уровне риска логичнее отражать через оценки CVSS, а не через отсутствие идентификатора вовсе.
В итоге WhatsApp действительно начал сокращать объем информации, которую можно использовать для скрытой разведки. Усилия исследовательского сообщества не прошли даром. При этом способ внедрения изменений и сохранение возможности различать платформы показывают, что проблема решается постепенно и без особой открытости. Эта история наглядно демонстрирует, что даже при надежном шифровании детали реализации и метаданные могут играть ключевую роль при подготовке атак.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.
Источник
WhatsApp, принадлежащий Meta, уже давно стал одной из самых удобных точек входа для кибератак. Мессенджером ежемесячно пользуются более 3 миллиардов человек, и именно такая аудитория делает его особенно привлекательным для распространения вредоносного ПО. Сквозное шифрование надежно защищает содержание переписки, однако особенности работы сервиса в многоустройственном режиме на протяжении лет позволяли получать техническую информацию об устройствах собеседника. Эти сведения оказывались достаточно точными, чтобы использовать их на этапе подготовки атак.
Любая сложная кибератака начинается с разведки. Перед тем как задействовать эксплойт, злоумышленникам важно понять, какое устройство находится на другой стороне. Отправить Android-уязвимость на iPhone не только бесполезно, но и рискованно: жертва может заметить подозрительную активность и тем самым сорвать операцию. Для профессиональных групп такая ошибка грозит куда более серьезными последствиями — от потери дорогостоящих 0-day и 0-click уязвимостей до раскрытия инфраструктуры и перечня целей.
Проблемы, связанные с утечками данных в WhatsApp, подробно описывались еще в начале 2024 года. Тогда исследователи показали, что мессенджер позволяет определить конфигурацию учетной записи — в частности, сколько устройств подключено и какие именно. Источник этой утечки находится в архитектуре сквозного шифрования при использовании нескольких устройств. Каждый девайс получателя устанавливает отдельную криптографическую сессию с отправителем, и для каждой такой сессии применяются собственные ключи. В результате подключенные устройства становятся различимыми, а сторонний наблюдатель получает возможность судить о составе этой группы.
Позднее выяснилось, что раздельные сессии можно использовать и для более точечного сценария — выбирать конкретное устройство для атаки. Вместо попытки «достать» всю учетную запись злоумышленник мог нацелиться на нужный девайс. В 2025 году исследователи пошли еще дальше и показали, что по отдельным параметрам криптографических ключей удается определить не только конкретное устройство, но и его операционную систему. Иными словами, WhatsApp фактически позволял провести fingerprinting — установить платформу цели.
Механизм утечки оказался связан с обычной служебной процедурой. Для установки защищенной сессии отправитель запрашивает у серверов WhatsApp криптографический материал, который формируется на стороне каждого устройства получателя. Это необходимо для сохранения свойств сквозного шифрования, однако именно на этом этапе проявлялись различия в реализации на разных платформах. Некоторые идентификаторы ключей создавались по-разному, и по этим отличиям можно было определить, используется ли Android или iOS. При этом никаких действий со стороны владельца устройства не требовалось — запрос выполнялся незаметно и без каких-либо уведомлений.
Авторы исследования отмечают, что выводы о таком определении платформы были также описаны в отдельной научной работе 2025 года. Собственными наблюдениями исследователи подтверждают эти результаты с помощью внутреннего инструмента, который пока не опубликован. Используя его, они заметили недавнее изменение в логике Android-версии WhatsApp. Речь идет о параметре Signed PK ID: ранее он начинался с нулевого значения и увеличивался крайне медленно — примерно раз в месяц. Теперь это значение выбирается случайным образом.
Этот шаг исследователи оценивают положительно, поскольку ранее Meta не рассматривала это как проблему приватности, требующую исправления. В то же время уязвимость устранена не полностью. По-прежнему сохраняется возможность отличить Android от iPhone по другому параметру — One-Time PK ID. В iOS он начинается с низкого значения и постепенно увеличивается с интервалом в несколько дней, тогда как Android использует случайные значения по всему 24-битному диапазону. Ученые обновили свой инструмент, чтобы учитывать новое поведение и по-прежнему различать платформы.
Отдельные вопросы вызвал сам процесс внедрения исправления. По словам авторов, WhatsApp внес изменения без публичного уведомления, не связался с исследователями, первыми сообщившими о проблеме, не выплатил вознаграждение и не присвоил уязвимости CVE-идентификатор. Они сопоставляют эту ситуацию с другим случаем, о котором ранее сообщали мессенджеру: тогда исправление появилось, небольшую награду выплатили, но в присвоении CVE отказали, сославшись на недостаточную серьезность проблемы.
Авторы считают такой подход ошибочным. По их мнению, CVE не следует воспринимать как клеймо или признание провала — это инструмент для фиксации и обсуждения вопросов безопасности и приватности. Различия в уровне риска логичнее отражать через оценки CVSS, а не через отсутствие идентификатора вовсе.
В итоге WhatsApp действительно начал сокращать объем информации, которую можно использовать для скрытой разведки. Усилия исследовательского сообщества не прошли даром. При этом способ внедрения изменений и сохранение возможности различать платформы показывают, что проблема решается постепенно и без особой открытости. Эта история наглядно демонстрирует, что даже при надежном шифровании детали реализации и метаданные могут играть ключевую роль при подготовке атак.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.
Источник
