Российские компании начали искать способы доступа к переписке пользователей популярных мессенджеров вроде Telegram и WhatsApp в рамках «пакета Яровой», пишет «Коммерсантъ». 

Компания Con Certeza, занимающаяся системами технических средств для обеспечения функций оперативно-розыскных мероприятий (СОРМ) на сетях операторов связи, ищет подрядчика для исследования возможности перехвата и расшифровки трафика WhatsApp, Viber, Facebook Messenger, Telegram и Skype. 

Это следует из переписки сотрудника Con Certeza с техническим специалистом одной из российских компаний в сфере информационной безопасности, которая оказалась в распоряжении издания. Сотрудник ИБ сказал, что готов взяться за работу, если ее результаты опубликуют публично, на что получил отказ.

Цель исследования — «реализация или аргументация о невозможности реализации [данных функций] в системах СОРМ согласно нормативным требованиям к операторам сотовой связи».

Оплата работ по каждому мессенджеру: 130 тысяч рублей за выполнение основной части исследования и 230 тысяч рублей бонуса «в случае получения идентификаторов сторон либо текста при использовании MITM (атаки типа Man in the Middle)». На каждый мессенджер компания готова выделить два месяца.

«Теоретически перехватывать зашифрованный трафик, в том числе и от мессенджеров, использующих end-to-end-шифрование, — осуществимая задача. Мессенджеры обмениваются публичными частями криптографических ключей перед началом переписки, которые можно подменить, что позволит расшифровать. Есть технологии, нацеленные на защиту от такого типа атак,— Key Pinning, то есть привязка конкретных сертификатов к конкретному веб-сайту или приложению. Мессенджеры, как и другие приложения, например банковские клиенты, использующие Key Pinning, откажутся работать в случае подмены сертификата для защиты пользователя», — прокомментировал ситуацию эксперт из Digital Security.