Разбираем WeChat — второй по популярности мессенджер в мире

[rudenkovk]

Интерес есть.
Хотя остается главный вопрос: когда они с своими бизнес-аккаунтами выйдут за пределы своего региона.

[maksimsuvorov]

Согласен, не понятно почему не выходят за пределы. По нашим данным только в России пользователей WeChat порядка 400 000 человек, хотя скорее всего большая часть это граждане Китая, которые живут в России и держат связь с родственниками.

[cyber_ua]

Как по мне, со стороны пользователя WeChat так себе в плане юзабилити, и хуже аналогов. В Китае он так популярен потому что у него нет нормальных аналогов, и как я понял у него есть поддержка властей.

[monah_tuk]

нет нормальных аналогов

точнее они запрещены и/или заблокированы? :)

[cyber_ua]

Да.

[creker]

Мде, парад велосипедов какой-то с сомнительными решениями. Процесс обмена ключами, на первый взгляд, успешно можно было заменить на TLS с certificate pinning и быть спокойным, что все сделано правильно. Для хэша вообще ерунда используется без криптографической стойкости. И, как понимаю, открытая часть сообщения никак не связана с закрытой. GCM режим шифрования тут подошел бы идеально, заменив сразу и убогий хэш, и защитив от попыток подмены открытую часть.

[maksimsuvorov]

Согласен, велосипедов там хватает. В текущей версии, действительно реализован TLS c AES GCM, но что интересно, пакеты ходят те же самые, описанные в данной статье(с хэшем и заголовками). Т.е они одно шифрование накрутили на другое, шифруют уже шифрованные данные. Гениально…

[Scratch]

Молодцы, хорошо расковыряли. Ждем Whatsapp )

[maksimsuvorov]

WhatsApp уже разобран под iOS х64 и x32. В скором времени выложим отдельную статью, нужно время, чтобы ее хорошо оформить. Это была наша первая статья, уже видим, что можно было лучше оформить.

[bertmsk]

А вайбер расковыривали? )

[Bringo]

Вайбер даже не начинали. У Вайбера есть официальная two-way АPI для интеграции. Есть разобранный iMessage, в дальнейшем планируем опубликовать.

[fugasio]

Да, про WhatsApp было бы круто, эти китайские приколы довольно скучные.

[Niya]

Спасибо большое. Обязательно жду продолжения. Очень интересная статья.
Интересно было бы узнать, как мессенджер следит за стоп-словами (и как их обрабатывает) которые запрещены в КНР.
И ссылки на запрещенные ресурсы.

Так же интересно, какие данные приложение собирает в телефоне и что отправляет на сервера.

Возможно, после стоп-слов, приложение начнет вести себя странно. Может быть попробует даже сделать фото через фронтальную камеру или произвольно задействует GPS. А может еще что-то сделает.
Довольно интересная тема.

[vitanje]

Весьма редкая инфа по реализации протокола мессенджера, и ньюансы шифрования.
Все очень интересно! Больше инфы! Больше Хлеба и Зрелищ!!!)

[beremour]

и не забыть сказать, что все данные оттуда достояние китайского правительства. Вдруг кто-то не обратил внимание.

[robux]

Вот это, описывающее способ шифрования:

Сообщение сериализуется и шифруется публичным ключом сервера при помощи алгоритма RSA. Ответ сервера расшифровывается AES-ключом, переданным в запросе. В ответе сообщается, что либо все в порядке, либо указывается ошибка.

Противоречит утверждению в конце статьи:

Также отдельно хотелось бы сообщить, что End-to-End шифрования между пользователями не происходит.

Автор, похоже, сам не знает, что такое End-to-End шифрование.

Но в целом статья весьма нужная — я, как разработчик p2p-информационной системы, с интересом слежу за технологиями, альтернативными гадкой вебне.

[Tatikoma]

В чем противоречие? — Черным по белому написано что сообщение шифруется публичным ключом сервера.
Если бы применялось сквозное шифрование, то сообщение шифровалось бы публичным ключом получателя.
Ты похоже сам не знаешь, «что такое End-to-End шифрование»…

[creker]

End-to-end шифрование означает, что сервер не может читать сообщения пользователей, что требует обмена публичными ключами между пользователями, которые желают беседовать. Здесь же описывается обычная схема гибридного шифрования, которая обычно реализуется SSL/TLS, а тут решили свой велосипед сделать.