Самый популярный и распространенный в мире мессенджер WhatsApp в последние месяцы стал одним из наиболее опасных для пользователей приложений. Эксперты не впервые обвиняют сервис в продаже данных и нарушении тайны переписки, однако 2019 год стал для WhatsApp особенно скандальным. Неизвестные преступники, завладев программой для силовиков и разведчиков, шпионили за юзерами, прослушивали их беседы, читали переписку и даже включали прямые видеотрансляции из жизни жертв. Редактор «Ленты.ру» разобралась, чего стоит бояться каждому, кто пользуется WhatsApp.

Один телефонный звонок

В апреле 2019 года жителю британского города Лидс Фаустину Рукундо поступил звонок в WhatsApp с неизвестного номера. Ответив на звонок, он ничего не услышал, звонивший быстро сбросил вызов. Рукундо пытался перезвонить и выяснить, в чем дело, однако не дозвонился.

Это показалось ему странным: он погуглил мобильный номер, с которого ему звонили, однако выяснил только, что код относится к шведскому провайдеру. Через некоторое время звонки повторились, звонили с других неизвестных номеров. Рукундо забеспокоился (будучи беженцем, он нервозно реагировал на странные ситуации, поскольку боялся за свою семью) и сменил телефон. Буквально через несколько часов звонящие вновь его настигли, и снова дали отбой, когда он пытался с ними заговорить.

«Всякий раз, когда я перезванивал, никто не отвечал. Я понял, что что-то не так, когда стал замечать, что с телефона исчезают файлы», — заявил Рукундо. Выяснилось, что его коллеги из Национального конгресса Руанды (оппозиционная местному правительству группа) тоже получали странные звонки с тех же самых номеров. Рукундо понял, что произошло, лишь спустя месяц, когда в СМИ появились сообщения о взломе через мессенджер. «Я сменил телефон и понял свою ошибку. Они следили за моим номером и устанавливали шпионское программное обеспечение на каждое новое устройство, звоня по одному и тому же номеру», — пояснил он.

Позднее оказалось, что жертвами атаки злоумышленников стали по меньшей мере 1,4 тысячи человек (скорее всего их намного больше). Последовавшее за серией инцидентов расследование показало, что реальной целью телефонных атак были правозащитники, оппозиционеры, дипломаты, высокопоставленные чиновники и журналисты более чем из 20 стран мира.

Масштабный шпионаж

В мае 2019 года стало известно, что жертвами хакеров могло стать более 1,5 миллиарда пользователей WhatsApp. Киберпреступники воспользовались уязвимостью сервиса CVE-2019-3568, которая позволила им дистанционно внедрять шпионские программы. Вредоносный код, разработанный израильской компанией NSO Group, передавался через входящий вызов: злоумышленники звонили жертвам через мессенджер, и программа автоматически внедрялась на устройство. Она подходила как для гаджетов на iOS, так и на Android, и заражение происходило даже в том случае, если пользователь не отвечал. Данные о звонке, как правило, сразу же пропадали из журнала вызовов.

Через несколько минут после пропущенного звонка телефон мог передать злоумышленникам буквально все: зашифрованные данные, изображения экрана, личные сообщения и местоположение, — а также по их команде включать камеру и микрофон, фактически устраивая прямую трансляцию без ведома владельца. Именно так действовал флагманский продукт NSO Group — программа Pegasus, которая была создана разработчиками для нужд разведчиков.

В период с января 2018 года по май 2019 года NSO Group создала учетные записи WhatsApp с использованием телефонных номеров, зарегистрированных в разных странах, среди них — Кипр, Израиль, Бразилия, Индонезия, Швеция и Нидерланды. Вредоносный код маскировался под параметры вызова — это позволяло нападавшим обходить защиту мессенджера, и опасное ПО выглядело так, будто исходило от серверов самого WhatsApp.

Представители компании утверждали, что такой продукт предназначен только для спецслужб и других представителей власти, которым необходимо бороться с терроризмом и преступностью. Благодаря этой технологии сравнительно небольшая израильская компания заслужила рыночную оценку в один миллиард долларов. Известно, что за месяц до обнаружения атаки представитель фирмы хвастался инвесторам, что обновления безопасности от Apple неспособны устранить «уязвимости, эксплуатируемые Pegasus». Эта технология считается настолько мощной, что ее продажу регулирует министерство обороны Израиля. Продажа от лица государства или прямое использование таких серьезных программ могло сыграть на руку многим чиновникам и военным. Однако местное правительство публично не говорило ничего, что могло бы намекнуть на его особые отношения с NSO Group.

После обнаружения взломов представители NSO Group заверяли, что тщательно проверяют своих клиентов и расследуют малейшие злоупотребления. Они с гордостью рассказывали, что Pegasus помог предотвратить террористические акты в десятках стран, спасти множество похищенных детей и свернуть деятельность наркокартелей. Они запустили проверку по факту атаки, уточняя, что эксплуатировать код против конкретного законопослушного человека или организации невозможно: по их словам, к технологии имеют доступ «исключительно разведывательные и правоохранительные органы». Однако ряду зарубежных СМИ стало известно, что ранее ближневосточные правозащитники и активисты получали в WhatsApp текстовые сообщения, содержащие фишинговые ссылки для установки Pegasus.

Представители WhatsApp, зафиксировавшие атаку, привлекли команду сотрудников, которые круглосуточно работали над устранением проблемы. За несколько дней им удалось разработать новую версию мессенджера, которую они посоветовали установить абсолютно всем пользователям без исключения. Однако руководство по-прежнему уверено, что во всем виновата NSO Group: «Эта атака имеет все признаки деятельности частной компании, которая, как известно, сотрудничает с правительствами в поставке шпионского ПО, которое берет на себя функции операционных систем мобильных телефонов». Они связались с правозащитными организациями и сотрудниками министерства юстиции США.

Атака клонов

В то время как в WhatsApp работали над устранением уязвимости, неизвестные продолжали атаковать своих жертв. За сутки до выпуска обновленной версии странный входящий вызов поступил на телефон неназванного британского адвоката-правозащитника. Исследователи из лаборатории по защите прав человека и глобальной безопасности канадского Университета Торонто Citizen Lab отнесли этот случай к той же серии взломов. По их данным, в том случае он не удался: «У нас было сильное подозрение, что телефон этого человека мог быть объектом нападения, поэтому мы наблюдали предполагаемую атаку и убедились, что она не привела к заражению. Мы считаем, что меры, принятые WhatsApp в последние несколько дней, не позволили атакам пройти успешно», — заявил представитель Citizen Lab Джон Скотт-Рейлтон. Позже неназванный юрист помог группе коллег, в которую вошли несколько мексиканских журналистов и активистов, а также диссидент из Саудовской Аравии, проживающий в Канаде, подать в суд на NSO Group. По его мнению, компания-производитель несет ответственность за злоупотребление своим продуктом.

Еще одна известная жертва взлома — сотрудник Amnesty International. У этой организации есть немало свидетельств того, что компания-разработчик Pegasus связана с нападениями на правозащитников, а программа продается буквально всем подряд, что ставит под угрозу права и безопасность людей по всему миру. «NSO Group продает свою продукцию правительствам, которые известны вопиющими нарушениями прав человека, предоставляя им инструменты для отслеживания активистов и критиков. Нападение на Amnesty International стало последней каплей», — возмущалась Данна Инглтон, заместитель директора Amnesty Tech. Организация поддержала просьбу об отмене экспортной лицензии NSO Group — этим вопросом должно заняться министерство обороны Израиля.

Масла в огонь подлил друг убитого в 2018 году журналиста Джамаля Хашкуджи, который заявил, что оппозиционный публицист стал жертвой слежки и прослушки именно с помощью Pegasus, и недоброжелатели вели его до последних дней, пока не расправились с ним. Из NSO Group поступил дежурный ответ, что их программное обеспечение не использовалось ни одним из клиентов для заражения телефона Хашкуджи, и что оно продается только ответственным странам после тщательной проверки и с одобрения израильского правительства. Однако вопрос, насколько законно такое ПО вместо преследования заявленных целей используется для мониторинга диссидентов или журналистов, остается открытым. Точно известно лишь то, что слабым местом на каждом гаджете был избран WhatsApp.

В октябре корпорация Facebook, которой принадлежит мессенджер, подала в суд Калифорнии на израильскую компанию. По утверждениям представителей WhatsApp, NSO Group и материнская компания Q Cyber Technologies шпионили за их пользователями через опасные программы. В Facebook намерены в судебном порядке запретить им доступ к своим платформам. Это стало первым прецедентом за все время существования приложения. В Facebook признали, что сами создатели кода не взламывали клиентов их компании, однако обязаны понести наказание за созданный ими инструмент. Сервис назвал прецедент «систематизированным нападением» и намерен добиться строгого законодательного контроля за кибероружием и моратория на подобные атаки.

Новая проблема

Однако на этом злоключения пользователей WhatsApp не кончились. В ноябре 2019-го сотрудники Facebook, не привлекая особого внимания юзеров, опубликовали на сайте соцсети данные об устраненной уязвимости в мессенджере. Известно, что с ее помощью хакеры могли установить на любое устройство шпионское ПО. Для заражения атакующему было достаточно узнать номер телефона жертвы. Эксперты отмечали, что характер этой бреши, получившей идентификационный номер CVE-2019-11931, очень схож с уязвимостью CVE-2019-3568.

По данным исследователей, речь идет об уязвимости переполнения буфера: киберпреступник отправляет жертве специальный файл формата MP4, и это ведет к проблемам в работе устройства, а на гаджет тем временем незаметно устанавливается опасная программа — бэкдор или вирус-шпион. Согласно данным сотрудников Facebook, проблема затронула все основные платформы (iOS, Android и Windows), а также корпоративную версию мессенджера. По их заверениям, эта уязвимость никогда не использовалась злоумышленниками в целевых атаках.

В начале года один из пользователей Reddit рассказал, что сумел обойти систему безопасности мессенджера, используя функцию «поделиться». При некотором стечении обстоятельств и корректировке определенных настроек ему удалось войти в WhatsApp, минуя FaceID или TouchID. За несколько недель до этого журналисты британского издания Mirror раскрыли несложный способ восстановить удаленные собеседником сообщения в мессенджере. Для того чтобы архив переписки загрузился в первозданном виде, следовало всего лишь удалить приложение сервиса, а затем установить его вновь. Этот способ сработает, если устройство не перезагружалось, а копия чата не обновлялась (по умолчанию это происходит один раз в сутки).

В прошлом году WhatsApp оказался в центре скандала, связанного с частыми случаями беспощадного линчевания в Индии. Тогда причиной нескольких десятков кровавых убийств стала фейковая информация, распространяемая местными жителями через мессенджер. В Индии сервис постоянно используют для обмена сообщениями сотни миллионов человек, и многие из них массово делились со всем контакт-листом фальшивыми «ориентировками» на неких похитителей детей. Чаще всего жертвами толпы становились иностранцы или бродяги. Тогда местное правительство переложило ответственность за происходящее на представителей WhatsApp, а индийские власти ограничились серией предостережений и объявлений в местных газетах о недопустимости подобного поведения. В январе 2019 года WhatsApp ограничил пересылку одного и того же сообщения пользователям до пяти раз.

Дуров против

За проблемами WhatsApp пристально следит создатель мессенджера-конкурента Telegram Павел Дуров. Спустя два дня после того, как стало известно, что 1,5 миллиарда пользователей WhatsApp оказались в опасности из-за Pegasus, бизнесмен выступил с колонкой «Почему WhatsApp никогда не будет безопасным» (Why WhatsApp Will Never Be Secure). По мнению Дурова, администрация сервиса умышленно делает мессенджер уязвимым, чтобы представители власти и спецслужб могли получить доступ к переписке и звонкам пользователей. Он упрекнул в лицемерии и жадности корпорацию Facebook, которая готова пожертвовать клиентами ради своего благоденствия. «Каждый раз, когда WhatsApp приходится исправлять критическую уязвимость в своем приложении, на ее месте появляется новая. Все их проблемы с безопасностью хорошо подходят для слежки, они выглядят и работают как бэкдоры», — резюмировал Дуров.

20 ноября Дуров призвал всех пользователей WhatsApp удалить приложение. Он назвал сервис «троянским конем», который не только не защищает рядовых пользователей, но и позволяет следить за их деятельностью вне приложения. «Все, что нужно было сделать хакеру, это отправить вам видео, и все ваши данные оказались во власти злоумышленника», — написал Дуров в своем Telegram-канале, намекая на проблему CVE-2019-11931. Он напомнил, что уже предсказывал цепь бесконечных бед с безопасностью мессенджера, в которой каждая решенная проблема тянет за собой новую. По мнению основателя Telegram, разгадка в том, что Facebook уже много лет участвует в программе АНБ США под названием PRISM, в рамках которой власти собирают данные пользователей, и в 2019 году ни у кого нет причин доверять этой корпорации. Он также вспомнил признание одного из основателей мессенджера Брайана Эктона, что, продавая сервис Facebook, отдал за крупную сумму «конфиденциальность своих пользователей».

Высказывания Дурова вызвали широкий резонанс. Представители российского бизнеса и Минкомсвязи заявили, что создатель Telegram просто злится на конкурента, который отнимает у него аудиторию. При этом один из экспертов заметил, что проблемы WhatsApp могут быть связаны с его широкой аудиторией, так как хакеры скорее обратят внимание на более крупный по охвату продукт. Однако большинство пользователей WhatsApp чаще всего не задумываются о рисках, которые несет им приложение, так как исходят в первую очередь из его распространенности и привычки пользоваться мессенджером. Именно поэтому борьба разработчиков сервиса с уязвимостями скорее всего будет продолжаться.

Софья Кадочникова