WhatsAppi 'tagauks' võimaldab krüpteeritud sõnumite nuhkimist

WhatsApp

Eelmisel suvel tegi WhatsApp vestlusakendes väga selgeks, et avasime oma kontaktidega, et see juba on end-to-end krüptimise juurutamine et need vestlused oleksid turvalisemad. Kuigi kõik tundus olevat hästi valvatud, pole see nii.

Facebook väidab, et keegi ei saa WhatsAppi sõnumeid pealt kuulata, isegi ettevõte ise ega selle meeskond, mis tagab privaatsuse miljarditele inimestele. Kuid uued uuringud näitavad seda ettevõte sai sõnumeid lugeda tänu sellele, kuidas WhatsApp on oma end-to-end-krüptimisprotokolli rakendanud.

Teie sõnumite avatud uks WhatsAppis

Uurijad väidavad, et haavatavus onsuurem väljakutse vaba suhtlemise vabadusele"Ja seda saavad valitsusasutused kasutada kasutajate nuhkimiseks, kes usuvad, et nende sõnumid on ohutud. WhatsApp on muutnud privaatsuse ja turvalisuse oluliseks müügiargumendiks ning suutnud saada aktivistide, teisitimõtlejate ja diplomaatide suhtlemisvahendiks.

Facebook

WhatsAppi täielik krüptimine taandub kordumatute võtmete genereerimisel turvalisuse tagamiseks, kasutades selleks tunnustatud signaaliprotokolli, mille on välja töötanud Open Whisper Systems ning mis on kasutajate vahel jagatud ja kontrollitud, tagamaks, et side on turvaline ja vahendaja ei saa seda kinni pidada. Igatahes on WhatsAppil võimalus sundida võrguühenduseta kasutajate jaoks genereerima uued krüptovõtmed, mis on teadete saatjale ja vastuvõtjale tundmatud, ja panna saatja krüptima sõnumid uute võtmetega ja saatma need uuesti kõigi sõnumite jaoks, mida pole veel saadetuks märgitud.

Vastuvõtjat ei teavitata sellest krüptimise muutusest, samal ajal kui ainult saatjat teid teavitatakse, kui olete seadetes hoiatused krüptinud ja alles pärast sõnumite edastamist. See uuesti krüptimine võimaldab WhatsAppil kasutaja sõnumeid pealt kuulata ja lugeda.

Kuidas see avastati?

See turvauks oli avastas Tobias Boelter, Berkeley California ülikooli krüptograafia ja turvalisuse uurija. Ta ise teatas:

Kui valitsusasutus palub WhatsAppil oma sõnumilogid avaldada, tagab juurdepääsu võtmete muutmise tõttu.

Tobias

See tagauks ei ole signaali protokollile omane. Rakendust Open Whisper Systems Signal on kasutanud ja soovitanud tuntud Edward Snowden ning see ei kannata sama haavatavuse all. Kui vastuvõtja muudab turvavõtit võrguühenduseta, ei õnnestu sõnumit saata ja teate edastamisel teavitatakse saatjat turvavõtmete muutusest automaatselt.

WhatsAppi rakendamine saadab automaatselt sõnumi, mis pole saabunud uue parooliga ilma sellest kasutajale ette teatamata või vähemalt andes talle võimaluse seda takistada.

Facebook teadis juba selle olemasolust

Boelter teatas sellest haavatavusest Facebookile 2016. aasta aprillis, kuid öeldi, et Facebook oli probleemist teadlik ja see oli tegelikult eeldatav käitumine ning see ei töötanud aktiivselt. Naljakas on see, et The Guardian on kinnitanud, et tagauks on tänapäevalgi olemas.

Mark

Nii saab WhatsApp jätkata turvavõtmete vahetamist, kui seadmed on võrguühenduseta, ja edastada seeläbi sõnumi, andmata kasutajatele muudatustest teada pärast selle tegemist, mis pakub äärmiselt ohtlik platvorm.

Boelter ise hoiatab:

Mõni võib öelda, et see haavatavus seda sai kuritarvitada ainult unikaalsete sõnumite "nuhkimiseks", mitte tervetes vestlustes. Kuid see ei ole tõsi, kui arvestada, et WhatsAppi server võib saata sõnumeid saatmata vastuvõtjalt "teadet vastu võetud sõnumit" (või mida topeltklõpsates teame), mida kasutajad ei mõistaks. Relee haavatavuse abil saab WhatsAppi server hiljem hankida kogu vestluse ärakirja, mitte ainult ühe kirja.

Seetõttu on see haavatavus paneb meid mõtlema tõelise privaatsuse üle kogu maailmas kasutatava teenuse kaudu saadetud sõnumitest, sealhulgas ka rõhuvas režiimis elavate inimeste poolt.

See on see, et me räägiksime turvaagentuuride kullakaevandusest ja "kasutajate usalduse tohutust reetmisest". On ise suur rünnak sõnavabaduse vastu, osates soovi korral vaadata, mida ütlete. Paljud ütlevad, et neil pole midagi varjata, kuid te ei tea, milleks vaadatavat teavet kasutatakse ja milliseid seoseid luuakse.

Peale selle, et nagu varem öeldud, uhkeldab WhatsApp ise oma pakutava privaatsuse ja turvalisusega, midagi, mida peame kahtluse alla seadma juba vastavalt The Guardiani edastatud tõepärasele teabele.


Artikli sisu järgib meie põhimõtteid toimetuse eetika. Veast teatamiseks klõpsake nuppu siin.

Ole esimene kommentaar

Jäta oma kommentaar

Sinu e-postiaadressi ei avaldata. Kohustuslikud väljad on tähistatud *

*

*

  1. Andmete eest vastutab: ajaveeb Actualidad
  2. Andmete eesmärk: Rämpsposti kontrollimine, kommentaaride haldamine.
  3. Seadustamine: teie nõusolek
  4. Andmete edastamine: andmeid ei edastata kolmandatele isikutele, välja arvatud juriidilise kohustuse alusel.
  5. Andmete salvestamine: andmebaas, mida haldab Occentus Networks (EL)
  6. Õigused: igal ajal saate oma teavet piirata, taastada ja kustutada.