Скандал с WhatsApp. Генеральный прокурор Техаса подал в суд на Meta, утверждая, что WhatsApp не обеспечивает сквозное шифрование

Критики отмечают отсутствие фактической поддержки в иске, поданном кандидатом в Сенат США.

Источник: Getty Images Источник: Getty Images

Генеральный прокурор штата Техас подал в суд на компанию Meta по обвинениям в том, что мессенджер WhatsApp, которым пользуются более 3 миллиардов человек, не обеспечивает сквозное шифрование (E2EE), которое компания давно заявляла.

По меньшей мере с 2016 года компания Meta (тогда еще называвшаяся Facebook) заявляла, что WhatsApp обеспечивает надежное сквозное шифрование, то есть сообщения шифруются на устройстве отправителя с помощью ключей, доступных только получателю. По определению, сквозное шифрование означает, что никто другой, включая саму платформу, не может прочитать сообщения в открытом виде.

В 2018 году, давая показания под присягой перед двумя комитетами Сената США, генеральный директор Марк Цукерберг заявил, что Meta «не видит никакого контента в WhatsApp; он полностью зашифрован», и что «системы Facebook не видят содержимого сообщений, передаваемых через WhatsApp». Движущей силой этого сквозного шифрования является протокол Signal, открытый исходный код которого, по мнению многих сторонних экспертов, полностью оправдывает свои обещания.

В иске, поданном в четверг, юристы генерального прокурора Техаса заявили, что утверждения Meta ложны и что компания может и действительно читает незашифрованное содержимое сообщений WhatsApp. Они заявили, что подают иск, чтобы «предотвратить дальнейшие преднамеренные обманы [техасцев] со стороны WhatsApp и Meta, которые вводят в заблуждение, утверждая, что их частная переписка является именно частной и недоступной даже для WhatsApp и Meta, тогда как на самом деле WhatsApp и Meta имеют доступ ко всей переписке пользователей WhatsApp в полном объеме».

«Серьезность нарушения конфиденциальности и доверия пользователей со стороны Meta и WhatsApp невозможно переоценить», — написали адвокаты. «Все пользователи имели право считать свою переписку конфиденциальной, поскольку WhatsApp и Meta недвусмысленно и неоднократно заверяли, что никто — даже WhatsApp и Meta — не сможет получить доступ к их сообщениям».

В электронном письме компания Meta назвала обвинения «безосновательными» и пообещала бороться с иском в суде.

Он сказал, она сказала

Единственным фактическим доказательством этих утверждений служит статья, опубликованная в прошлом месяце агентством Bloomberg. В ней сообщалось, что Бюро промышленности и безопасности Министерства торговли США внезапно прекратило расследование утверждений о том, что Meta могла получить доступ к зашифрованным сообщениям WhatsApp вскоре после того, как один из агентов ведомства отправил электронное письмо с изложением предварительных результатов расследования.

По данным Bloomberg, в электронном письме от 16 января, разосланном более чем десятку должностных лиц в других ведомствах, говорилось: «Нет ограничений на типы сообщений WhatsApp, которые может просмотреть Meta. Неправомерные действия Meta и ее должностных лиц, включая нынешних и бывших высокопоставленных руководителей, включают гражданские и уголовные нарушения, охватывающие несколько федеральных юрисдикций».

В иске, поданном в четверг, не указано, что офис генерального прокурора получил само электронное письмо или собрал какую-либо информацию от участвующих следователей. Вместо этого в качестве подтверждения приводится только отчет Bloomberg. В жалобе также отмечается, что сотрудники Meta получают сообщения WhatsApp в открытом текстовом виде, о которых сообщают компании другие пользователи WhatsApp. Однако эти сообщения извлекаются с устройства заявителя только после того, как они расшифрованы с помощью ключей расшифровки, доступных только заявителю.

Отсутствие фактических подтверждений этим утверждениям не осталось незамеченным технологами и экспертами по шифрованию. Они отмечают, что тщательное обратное проектирование WhatsApp почти наверняка выявило бы, обходит ли он каким-либо образом защиту, обеспечиваемую протоколом Signal.

По состоянию на 2023 год — полное отсутствие проблем со здоровьем.

Группа исследователей, проведшая в прошлом году детальный технический анализ WhatsApp, дала мессенджеру положительную оценку, заявив, что он в целом работает безопасно и так, как описывает WhatsApp. Они обнаружили один недостаток в дизайне, который позволял сотруднику Meta, имеющему доступ к инфраструктуре компании, добавлять новых участников в групповой чат без разрешения или какого-либо взаимодействия со стороны существующих участников. Но даже в этом случае такое добавление полностью видно всем остальным участникам.

Бенджамин Даулинг, старший преподаватель криптографии в Королевском колледже Лондона и соавтор исследования, сообщил в электронном письме, что его команда провела обратное проектирование криптографического протокола WhatsApp, то есть кода, обеспечивающего его работу. Они не обнаружили никаких признаков того, что он ведет себя иначе, чем описано Meta. Однако Даулинг подчеркнул, что анализ применим только к клиенту WhatsApp, доступному в мае 2023 года. Их выводы не обязательно будут применимы к версиям, обновленным с тех пор.

Он заявил, что закрытый исходный код WhatsApp делает невозможной окончательную оценку кода. Он также добавил, что, за исключением вытекающей из этого нехватки прозрачности кода и обнаруженной уязвимости в групповых сообщениях, мессенджер Meta, тем не менее, по-видимому, обеспечивает ту же конфиденциальность, что и протокол Signal.

Даулинг написал:

Наш анализ WhatsApp методом обратной разработки и все имеющиеся у нас доказательства указывают на то, что WhatsApp предоставляет пользователям сквозное шифрование содержимого их сообщений. Хотя наш анализ выявил недостатки в протоколе, такие как отсутствие контроля пользователя над такими вещами, как членство в группах, эти недостатки вряд ли являются основанием для жалобы, поскольку они не позволили бы скрытно читать сообщения по всему миру. На данный момент нам неизвестны какие-либо конкретные доказательства того, что WhatsApp нарушил свое обещание о сквозном шифровании. Содержание жалобы не предоставляет никаких доказательств обратного.

Трое других экспертов по криптографии, с которыми я беседовал, выразили аналогичные сомнения.

«Подавляющая часть иска, поданного генеральным прокурором Техаса, выглядит как попытка завуалированно обрушить поток критики на компанию Meta», — сказал Кенни Патерсон, исследователь из ETH Zurich. «Я не являюсь сторонником методов сбора данных компанией Meta, но все это — вопиющая попытка ввести в заблуждение в деле, которое, как мне кажется, построено на очень слабой доказательной базе: по сути, для подтверждения обвинения используется ссылка на одну новостную статью».

Мэтью Грин, профессор Университета Джонса Хопкинса, сказал: «Все клиенты WhatsApp доступны для обратного проектирования. Для того чтобы возникла подобная уязвимость, внутри этого приложения должно происходить что-то очень плохое».

Представители офиса генерального прокурора Техаса не ответили на электронное письмо с вопросом, получили ли следователи какие-либо неопровержимые доказательства, помимо информации, содержащейся в новостной статье. Поскольку генеральный прокурор Техаса Кен Пакстон вступает в заключительный этап второго тура праймериз в Сенат США против действующего сенатора Джона Корнина, возникает соблазн предположить, что иск является попыткой привлечь избирателей и представить себя защитником интересов жителей своего штата.

Учитывая историю нарушений конфиденциальности и сбора данных компанией Meta, существует множество причин не устанавливать WhatsApp. Если не появятся новые доказательства, то обвинения, изложенные в жалобе, поданной в четверг, к ним не относятся.

Источник: arstechnica.com