Повідомляється, що розробники WhatsApp реалізували нові функції безпеки, які дозволяють уникнути небажаних дзвінків, а також заблокувати складні кібератаки.
Ще у червні 2023 року WhatsApp анонсував додаткову функцію конфіденційності: блокувати невідомих абонентів. Алгоритм простий: якщо це налаштування увімкнено, дзвінки з невідомих номерів не дзвонять на телефоні користувача. Це захищає їх не лише від небажаного контакту, але й від кібератак і шпигунського програмного забезпечення.
Загалом софт для телефонів є привабливим вектором для кібератак. Популярні проекти, такі як WebRTC і PJSIP, задокументували численні вразливості. Через складність і велику кількість задіяних протоколів зловмисники мають чимало можливостей знайти помилку для використання. Крім того, програмне забезпечення для викликів часто автоматично обробляє вхідні пакети від абонентів, щоб оптимізувати налаштування виклику та покращити продуктивність. Це означає, що виклики з використанням вразливостей часто призводять до атак «з нульовою реакцією», тобто жертві не знадобитися навіть приймати виклик, щоб атака вдалася.
Щоб вирішити цю проблему, WhatsApp розробив нову технологію під назвою токени конфіденційності. Кожен клієнт локально вирішує, кому ще з користувачів він довіряє, і надсилає їм токени. Коли здійснюється виклик, абонент включає маркер конфіденційності одержувача в повідомлення протоколу. Далі сервер перевіряє дійсність маркера разом із кількома іншими факторами, щоб визначити, чи дозволено здійснювати дзвінки між цими двома учасниками. Важливо, що для конфіденційності користувача сервер нічого не дізнається про точні стосунки між абонентом і одержувачем із маркера. Таким чином, телефонні дзвінки стають набагато менш привабливим вектором для зловмисників.
Вже у жовтні 2023 року WhatsApp почав розгортати функцію «Захист IP-адреси під час дзвінків», яка приховує IP-адресу від іншої сторони, ретранслюючи дзвінки через проміжні сервери WhatsApp. Зазвичай для підключення учасників виклику застосується два способи: одноранговий і через ретрансляцію.
Більшість телефонних продуктів, які використовуються сьогодні, мають однорангові з’єднання між учасниками. Таке пряме з’єднання забезпечує швидшу передачу даних і кращу якість зв’язку, але також означає, що учасники повинні знати IP-адреси один одного, щоб пакети даних виклику могли бути доставлені на правильний пристрій. IP-адреси можуть містити інформацію, яка буде бентежити користувачів, що піклуються про свою конфіденційність.
Щоб вирішити цю проблему, розробники представили нову функцію в WhatsApp, яка дозволяє захищати IP-адресу абонента під час дзвінків. Якщо цю функцію увімкнено, усі дзвінки ретранслюватимуться через проміжні сервери WhatsApp, гарантуючи, що інші учасники дзвінка не зможуть побачити IP-адресу абонента та згодом визначити його загальне географічне розташування. Ця нова функція забезпечує додатковий рівень конфіденційності. До того ж, всі дзвінки наскрізно шифруються, тож навіть якщо дзвінок ретранслюється через сервери WhatsApp, ніхто чужий не зможе прослухати дзвінки.