Проект Zero Day Initiative (ZDI), предоставляющий денежные вознаграждения за сообщения о неисправленных уязвимостях, анонсировал проведение соревнований Pwn2Own Ireland 2025, которые состоятся в середине октября в Ирландии. Участникам предложено продемонстрирвоать эксплоиты для ранее неизвестных уязвимостей (0-day) в смартфонах, мессендрежах, беспроводных точках доступа, устройствах для умного дома, принтерах, сетевых хранилищах, системах видеонаблюдения и устройствах виртуальной /дополненной реальности. Атака должна быть проведена на самые свежие программы и операционные системы со всеми доступными обновлениями и в конфигурации по умолчанию...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63673
>Мероприятие примечательно готовностью выплатить миллион долларов за выявление в мессенджере WhatsApp ошибки, позволяющей удалённо выполнить код без действия пользователя (0-click).Правильно понимаю, что такая цена потому что это практически невозможно?
Конечно. если разработчик уверен в безопасности, а просто так код никто не будет показывать,т.к. продать его злоумышленнику можно дорого. Вот и разраб дерет цену выше,чтоб получить возможно существующий эксплоит.
К примеру я нашел эксплоит CVE-2024-28085 и написал под него трояна sleepall. Мог бы не выкладывать на гитхаб, но т.к. мне на работе не дали на практике показать что даже наши админы простые юзеры, то пришлось рассекретить,потому что профита будет больше от публичности моей. А в их случае - получение денег
> потому что это практически невозможно?Потому что это некачественный продукт и такой большой суммой они хотят хоть как-то вернуть доверие к нему доверие.
никогда ты не будешь богатым..
вернуть доверие? насмешил.
отдать мульон просто так?
С чем сравниваете ? С Telegram или Signal ?
Уровень условной безопасности у них примерно одинаковый.
https://www.whatsapp.com/privacy
https://signal.org/ru/
только не с телегой.
там чтобы чат был зашифрован, нужно создавать его секретным.
2025 год на дворе!
огорчу. если между телефона это возможно, то уже в пк-версии нет
> Уровень условной безопасности у них примерно одинаковый.Агаблин. Все они угоняются через контроль над телефонным номером - который как раз получить не особо сложно. Ибо хзкакие ss7 гейты в Зимбабве - не отменяли.
для этого существует пароль на аккаунт. даже крайне ненавистная мной телега позволяет его поставить
> для этого существует пароль на аккаунт. даже крайне ненавистная мной телега позволяет
> его поставитьТолько аккаунт потом обычно можно все же "восстановить" - через типа-контроль над телефонным номером. В ss7 джентльменам верят на слово - поэтому всякие майоры, гейты в зимбабве и проч просто заинтродусят этот номер с левого кейта, сделают на него восстановление, и вся "безопасность" этого добра на всем этом и заканчивается как правило.
Крепкость цепи определяется ее самым слабым звеном. Атакующий не будет долбаться с вскрытием крутого крипто и чем там еще, когда можно - что-то такое. SS7 это старинный телефонистский протокол, и он делался в другую эпоху. Поэтому с безопасностью там - это самое. И все что завязано на номер телефона по этому поводу вот настолько безопасно.
что такое e2e в курсе?
нуууу.. читать-читать )
если параноqя край как изнуряет, то есть же шифротекст от gpg
> что такое e2e в курсе?E2E никак не спасает от...
1) Анализа метаданных кто, с кем, когда и сколько, ибо сервак видит все и вся. Этого зачастую - достаточно.
2) Угон аккаунта через "типа-контроль" над телефонным номером.> нуууу.. читать-читать )
> если параноqя край как изнуряет, то есть же шифротекст от gpgИ как тебе gpg поможет от всего того?
я подумал, что цена такая потому, что уже знают, что эксплоит есть и есть надежда, что за мильон его отдадут. А может и не дадут - он точно стоит мильон? может больше?
практически - разумеется, возможно.
Ну да, придется потрахаться, ибо исходники закрыты и сам протокол восстановлен реверсом (и скорее всего неточно, что и позволило всосапу эффективно блокировать пользующихся неправильными клиентами). Но за лям - мог бы и попытаться, если ты умеешь, не?Чисто технически - учитывая что видео-фтопочки-ссылочки там явно не самодельный код обрабатывает - что-то вполне может найтись даже если не особо глубоко ковырять.
Пока что самый безопасный (по многим очевидным причинам) мессенджер для жителей РФ, несмотря на свою проприетарностью. Но уже понятно куда ветра дуют... С 1го сентября будут активно блокировать Wtahsapp и насаждать мессенджер Max от спeцслyжб. Придется настраивать ВПН еще большему кругу людей, а не только близким/дальним родственникам.
Используй Nocord (http://91.192.22.20) и не парься, его точно не заблокируют.
ну точно не ханипот, ну ни разу
> ну точно не ханипот, ну ни разуВбей туда свои логины пароли и проверь, фигли :)
использую конверсейшн. не парюсь
Я лично так и делаю, поднял свой серверок AmneziaVPN и расшарил родственникам и друзьям. Все довольны!
надеюсь зп у писак шатсаппа больше чем лям, а то погромисты за еду могут сговориться
У них опционы от десятков до сотен миллионов.
Им зарплаты не нужны.
> Им зарплаты не нужны.ага, индсы за еду программируют :)
Это не у тех кто на самом деле сейчас пишет код.Тем никаких опционов не полагается, и зарплата ниже помойного уровня. Сцукенберг _феерически_ жадный м-к.
(А индусы и рады стараться. А то h1b уже ж просрочена.)
Осталось только понять, что делает новость о начисто проприетарном закрытом WhatsApp на ресурсе об открытых технологиях. Или это тонкий намек, что в нем есть опенсорсные библиотеки, в которых, как правило, и находят дыры?
Просто если посмотреть предыдущие новости о Pwn2Own, то там в основном ломали всякие опенсорсные Убунты и Виртуалбоксы благодаря сишочным выходам за пределы буфера и double free.
>на ресурсе об открытых технологияхКак минимум это интересно с чисто технической стороны.
И кстати жаль, что многие события тут не публикуют.
2017: https://opennet.ru/46944-law
2025: https://vc.ru/legal/2061186
> 2025: https://vc.ru/legal/2061186К открытым технологиям этот кусок троянца и боевой малвари инжектящейся в сторонние апликухи никак не относится.
Именно.
Но это теперь это госмессенджер, и уже сейчас в него активно загоняют.
А через месяц-два начнут блочить остальные.
Какой в этом смысл? Может проще фишингом обманывать?
может проще телефон отобрать?
Не, ну как ты отберешь телефон у чувака, смывшегося в Парагвай? Там, учти, в тюряге кондиционер отсутствует напрочь.
у него кнопочный. какой уж тут фишинг
Только Вацап и Вайбер
@Предоставляемое Signal сквозное шифрование сегодня применяется как в одноименном мессенджере от Open Whisper Systems, так и во многих сторонних: WhatsApp, Facebook Messenger, Viber, Google Allo, G Data Secure Chat — все они используют оригинальную или слегка модифицированную версию Signal Protocol, иногда давая им собственные названия. Например, у Viber это протокол Proteus — по сути, тот же Signal с другими криптографическими примитивами.Однако при схожей реализации сквозного шифрования приложение может компрометировать данные другими способами. Например, WhatsApp и Viber имеют функцию резервного копирования истории переписки. Вдобавок WhatsApp отправляет статистику общения на серверы Facebook. Защита у локальной и облачной копии переписки формальная, а метаданные вообще никак не шифруются — об этом открыто говорится в лицензионном соглашении. @
Очень сильно сомневаюсь что у watsap сквозное шифрование, больше похоже что его нету во все.
Да и косвенное подтверждение не одно уже получил, два раза в диалогах тестом спорил что свозного шифрования нет, и через пару часов приходило сообщение от аккаунта watsap - Ваши сообщения не видит даже watsap бла бла, совпадение наверное?
Но вот когда при звонке через watsap я расказывал что у watsap нет сквозного шифрования и все видят, то и мне и собеседнику во время разговора пришло угадаете что? Да, от аккаунта watsap - Ваши личные сообщения не видит даже watsap, и зврнки мы не можем прослушать так как сквозное шифрования между участниками.. Ага, "верю", что это совпадение, как же.
Друг мой в этом мире ты не одинок. Я через сообщение в Whatsapp обсуждал покупку автомобиля. Общался с близким человеком. Так мне потом звонит через обычный номер русскоязычная женщина и предлагает на выбор несколько моделей авто. Я такой стою охреневший. Утечки не могло произойти, я абсолютно ни с кем и никогда не обсуждал покупку авто. И по Интернету я ничего не искал. До общения с близким мне человеком, идея покупки авто была представлена лишь в виде мыслей внутри моей головы. И всё!Одно из двух. Либо русские успешно "взламывают" нестойкый и примитивный алгоритм шифрования, либо вообще, как ты говоришь, шифрование у Whatsapp полностью отсутстувет. А работающий внутри Whatsapp примитивный и нестойкий к взламыванию алгоритм шифрования оставлен специально. Власти любят такие трюки.
Когда знает один человек - это секрет, знает два человека - знает весь мир.
"Утечки не могло произойти" могла произойти у того с кем общался.
он просто шапочку из фальги не надел.
сам виноват, а спихивает на ватсап
Во-первых, человек реально близкий, я знаю его как свои пять пальцев. От того что я куплю авто, ему ни холодно не жарко. Чтобы он слил мой номер автодилерам? Такого просто не может быть и зачем ему это? Просто был короткий обмен мнением. Я думаю, он даже забыл нашу переписку. А русскую женщину спалить легко. Она общалась на несвойственное для автодилера тематику. Её рекламное предложение было узкоспециализировано, и на 100% отражало мои интересы.Скорей всего Whatapp имеет легко взламываемое, нестойкое шифрование, русские научились его прослушивать. А американским властям такое положение выгодно, они тоже прослушивают своих граждан.
в телеге простые чаты и взламывать не надо.
там шифрование просто нет )
> Скорей всего Whatapp имеет легко взламываемое, нестойкое шифрование, русские научились
> его прослушивать.угу. Особенно - русские автодилеры!
Известно ведь, что они - мастера прослушки!
В какое же ... скатился опеннет...
> Скорей всего Whatapp имеет легко взламываемое, нестойкое шифрование, русские научились
> его прослушивать. А американским властям такое положение выгодно, они тоже прослушивают
> своих граждан.Все проще, чел. Адресбук всяких ведроидов и эплов много кто и куда сливает. Ибо даже если ты сам культурный - твои собеседники ставят себе всякую дрянь с абы какими правами. И сдают тебя как стеклотару.
А потом - скоррелировали с какими-нибудь запросами в вебе и проч и сделали выводы. Бизнес-аналитика штука очень злая. И знает о тебе - больше чем ты сам. Особенно если ты дурака валял.
Ты сам-то понял, что ты написал.
одно из трех..четырех.. пяти..
либо микрофон вашего тела передает данные опсос. не?
а ТВ-ящик не слушает вашу болтовню в комнате?
может рядом супер умная колонка стояла с какой то марусей али алисой?
> одно из трех..четырех.. пяти..
> либо микрофон вашего тела передает данные опсос. не?
> а ТВ-ящик не слушает вашу болтовню в комнате?
> может рядом супер умная колонка стояла с какой то марусей али алисой?только вот ни маруся ни алиса ни даже опсос не продают ТАКУЮ информацию каким-то паршивым автодилерам.
тады это просто домыслы не подкрепленные ничем
ОБС
могу сказать, что воссидал на лавочке в деревне новоеб****
и вслух спрашивал вселенную как дальше жить.
тут позвонили на трубку и пытались мне продать перемидол.
с_у_ки же.. прослушали!
>Например, WhatsApp и Viber имеют функцию резервного копирования истории перепискиЯ когда обсуждал покупку авто, никаких резервных копий сообщения не делал. После общения само сообщение я удалил с телефона. И всё равно Whatsapp меня слил.
В своих мессенджерах такого рода функционалы я предварительно в настройках стараюсь отрубать. А вот Signal Protocol тоже не анонимен. Политические опоненты министра обороны США показательно спалили часть его переписки. Он там через Signal переписывался.
>спалили часть его перепискиТак он сам журналиста (перепутал с другим челом) добавил в чат.
к чему эти подробности!
спец написал - не анонимен.
верим. помним
а микрофон и модуль гсм/гпс.глонасс выдрал из телефона?
ну что ж тыыы.. не порядок!
Знаешь твоя реакция замечательна.
не знаю
но спасибо!
А как русские прослушивают ватсап? есть инфа что они прослушивают.
> А как русские прослушивают ватсап? есть инфа что они прослушивают.бессмысленно прослушивать отдельно вацапп, спецы юзают всякого рода пегасусы и прослушивают любой месенджер, даже самый секурный, который васян написал сам.