Шифрування повідомлень у групах WhatsApp: детальний аналіз

Коли WhatsApp, що належить Meta, заявляє про наявність шифрування «від кінця до кінця» (E2EE) для понад двох мільярдів користувачів у всьому світі, це підвищує очікування надійності конфіденційності, навіть у групових чатах. Проте формальний аналіз, опублікований наприкінці 2024 року, виявив критичну прогалину: WhatsApp не надає криптографічних гарантій для управління членством у групах. Це упущення може дозволити зловмисникам або атакам на інфраструктуру безшумно додавати неавторизованих учасників до чутливих обговорень.

1. Формальний аналіз протоколу групового обміну повідомленнями WhatsApp

Дослідники з Лондонського університету Кінгса провели реверс-інжиніринг клієнтів WhatsApp для Android та iOS, витягли протокольні повідомлення та змоделювали логіку групового чату. У своїй статті, представленій на симпозіумі IEEE з безпеки та конфіденційності, вони застосували символічні та обчислювальні докази, щоб показати, що хоча вміст повідомлень залишається захищеним E2EE за допомогою Double Ratchet та X3DH обміну ключами, зміни в членстві групи залежать виключно від сповіщень, організованих сервером, без жодного криптографічного зв’язку.

• Не підписані повідомлення про оновлення групи: Клієнт адміністратора групи надсилає непорядковий список номерів телефонів учасників на бекенд WhatsApp через TLS, але не підписує це оновлення жодним довгостроковим або епhemerальним ключем.
• Серверні трансляції: Сервер WhatsApp довіряє своїй внутрішній ACL і розповсюджує зміни в членстві групи всім учасникам, знову ж таки без перевірки підписів з боку отримувачів.
• Прийняття на стороні клієнта: Офіційні клієнти показують повідомлення «X додав Y до групи», але не пропонують жодної криптографічної перевірки того, що X дійсно підписав цю зміну.

Згідно з словами Мартіна Р. Альбрехта, одного з авторів, «Без підписів або MAC на зміни в членстві групи сервер — або будь-хто, хто отримав привілейований доступ до нього — може безперешкодно додавати зловмисних користувачів.»

2. Криптографічне управління групами: WhatsApp проти Signal та нових стандартів

Signal, попередник E2EE WhatsApp, реалізує автентифіковані «Групові майстер-ключі» (GMK), які зберігаються поза сервером. Адміністратори підписують списки членів групи своїм GMK; інші учасники відкидають будь-який непідписаний або підроблений список. У порівнянні:

• Signal: Використовує x25519, ed25519 та Double Ratchet. Зміни в членстві групи криптографічно підписуються і включають версію стану групи.
• WhatsApp: Використовує той же Double Ratchet для 1:1 сесій, але отримує групові секрети лише через серверні злиття, без підписної ланцюга для оновлень членства.
• Новий стандарт MLS (Messaging Layer Security): Стандарт IETF, що перебуває на стадії розробки, який передбачає групове рачтингування, деревоподібний розподіл ключів та політики членства. WhatsApp ще не оголосив про інтеграцію MLS.

Бенджамін Долінг з Лондонського університету Кінгса пояснює: «MLS дозволить WhatsApp масштабувати криптографічне управління групами на тисячі учасників, використовуючи дерев’яні KDF та автентифіковані пропозиції членства. Це дивно, що Meta ще не впровадила MLS, враховуючи її інвестиції в відкриті стандарти.»

3. Потенційні вектори атак та моделювання загроз

Використання цієї прогалини вимагає високого рівня доступу, але є можливим:

• Зловмисний інсайдер: Адміністратор WhatsApp може маніпулювати серверною ACL, щоб додати постачальників шпигунського програмного забезпечення державного рівня до закритих політичних чат-груп.
• Компрометація інфраструктури: Вразливості в хмарному середовищі WhatsApp (неправильна конфігурація AWS KMS, ескалація привілеїв Azure AD) можуть дозволити зловмисникам створювати та транслювати підроблені оновлення групи.
• Атаки на ланцюг постачання: Підробка механізму автоматичного оновлення WhatsApp або перепакованих APK може вбудовувати бекдори, які безшумно приймають несанкціоновані оновлення.

У рамках поточного дослідження вчені CERT Європейського Союзу змоделювали таку загрозу з боку інсайдера в умовах кризового реагування в групі дипломатів. Вони успішно додали «примарного учасника», скориставшись компрометацією ролі AWS IAM.

4. Відповідь індустрії та майбутня дорожня карта

Офіційна заява Meta, оновлена у березні 2025 року, визнає критику:

«Ми вдячні за аналіз спільноти та оцінюємо рішення з криптографічного управління групами. WhatsApp планує протестувати функції безпеки груп на основі MLS у бета-версії пізніше цього року.»

На початку цього місяця WhatsApp випустив бета-версію v2.25.15 для Android, яка вводить «Сповіщення про безпеку групи», що підкреслює будь-які зміни в криптографічних параметрах групи, але все ще не має підписаних оновлень членства. За словами віце-президента Meta з безпеки, «Ми активно обговорюємо з головами IETF, щоб прискорити впровадження MLS.»

5. Рекомендації для випадків високої безпеки

Організації з суворими вимогами до конфіденційності повинні розглянути:

• Використання Секретних груп Signal для координації команди, використовуючи архітектуру GMK та перевірку безпеки номерів поза каналом.
• Розгортання самостійно хостингу Matrix з плагіном MLS (в даний час на стадії альфа) для криптографічного забезпечення політик членства в групах.
• Для користувачів WhatsApp активуйте Сповіщення про безпеку в налаштуваннях > Обліковий запис > Безпека, щоб принаймні отримувати сповіщення про зміни ключів.

Регулярні аудити, суворий контроль доступу та навчання персоналу щодо перевірки нових учасників залишаються критично важливими — жодна платформа обміну повідомленнями не може повністю замінити надійні практики операційної безпеки.

6. Висновок

Хоча основне E2EE WhatsApp залишається математично обґрунтованим, відсутність криптографічних гарантій для управління членством у групах створює реальні ризики для важливих чатів. Оскільки зловмисники все частіше намагаються атакувати зашифровані канали, організації повинні зважити зручність проти конфіденційності. Очікувану інтеграцію MLS або подібних протоколів WhatsApp може закрити цю прогалину, але до того часу групи з високими вимогами до безпеки повинні розглянути альтернативи, які пов’язують зміни в членстві з цифровими підписами.