Obsah:
V poslednej dobe sa veľa diskutovalo o novom spôsobe, ako využiť WhatsApp a obísť end-to-end šifrovanie, ktoré spoločnosť rád spomína, že má, kedykoľvek to môže. Videl som tweety a komentáre, ktoré spúšťajú gamut z „FUD“, aby som hovoril o niektorých zadných dverách, ktoré nainštaloval Facebook.
Dobrou správou je, že to tak nie je. V skutočnosti to nie je v skutočnosti jedna z tých vecí, o ktoré by ste sa mali zaujímať, a namiesto toho je to jedna z tých vecí, ktoré vás nútia zaujímať sa, ako sa to vôbec stalo, pretože je to dosť nedbalé. Ale nebojte sa - bude to opravené dlho predtým, ako sa niečo stane.
Čo to je
Vedci Paul Rösler, Christian Mainka a Jörg Schwenk z Ruhr-Universität v Bochume v Nemecku vydali výskumný dokument (odkaz.pdf), ktorý zistil zvláštnu chybu v správe diskusných skupín WhatsApp. WhatsApp ponúka rovnaké šifrovanie typu end-to-end pre skupinové rozhovory, ktoré poskytuje pre individuálne rozhovory, a to zvyčajne znamená, že by sme sa mali cítiť bezpečne, pretože vieme, že veci, ktoré hovoríme, nebudú čítať nikto, kto by nemal byť. čítanie, pokiaľ to niektorý z členov skupiny nedovolí.
Zdá sa, že je teoreticky možné, aby sa cudzinec pridal do skupinového chatu na WhatsApp. Kľúčovými slovami sú „teoreticky“ a „možné“. Vysvetlím to.
WhatsApp ponúka skupinové správy, ktoré používajú silné šifrovanie end-to-end.
V skupinovom rozhovore WhatsApp je jedným alebo viacerými pôvodnými členmi správca. Z pohľadu servera to znamená, že títo ľudia sú schopní pridávať a odoberať ľudí zo skupiny. Všetko je zatiaľ dobré, aj keď to funguje - správca vyšle signál každému členovi skupiny pomocou svojich podpisových kľúčov a na oplátku každý člen odošle návratovú správu so svojimi podpisovými kľúčmi a potom pôvodcom správy. upozorňuje každého člena, že v skupine je teraz nová osoba - je to trochu kludge, aby sa vytvorilo dobré používateľské rozhranie. Ak nie ste správca, jediné, čo viete, je, že uvidíte správu, že Jerry je teraz členom skupiny. Môžete to buď prijať, alebo opustiť rozhovor.
Podobná chyba sa zistila pri skupinových správach prostredníctvom signálu.
Problém je v tom, že WhatsApp neoveruje tieto požiadavky na správu skupín správne na svojich vlastných serveroch. Server WhatsApp musí správne identifikovať odosielateľa správy, ktorá by pridala osobu do skupinového rozhovoru. Osoba odošle správu, ktorá identifikuje skupinu aj člena, ktorého chce pridať, a server skontroluje, či je osoba, ktorá ju poslala, skutočne správcom chatu. Tieto správy nie sú šifrované end-to-end a namiesto toho používajú štandardné prenosové šifrovanie - správa prichádzajúca od správcu chatu a prichádzajúca na server, ktorý požaduje pridanie používateľa do chatu, odosielateľ nepodpíše šifrovacím kľúčom,
To znamená, že server WhatsApp môže kedykoľvek pridať ľubovoľného používateľa do ktorejkoľvek skupiny. Server nemôže, nie iný používateľ. Je to dôležité a znamená to, že akékoľvek súkromie očakávané v skupinovom chate WhatsApp závisí výlučne od dôveryhodného chatového servera WhatsApp. Tým sa ruší celý účel šifrovania typu end-to-end, ktorý je navrhnutý tak, aby bolo zaručené súkromie, aj keď je server ohrozený, pretože správu môže dešifrovať iba odosielateľ a príjemca.
A potom internet stráca svoju kolektívnu myseľ, pretože to je to, čo internet robí naozaj dobre.
Toto sa nestane, ale stále je potrebné ho opraviť
Jediný spôsob, ako túto chybu využiť, je niekto, kto má prístup k serveru, ktorý to robí. To znamená, že server je ohrozený, alebo je zamestnanec nečestný, alebo trojpísmenová vládna agentúra vydá príkaz. K čomukoľvek z týchto vecí by mohlo dôjsť, mohlo sa to stať v minulosti a mohlo by sa to dokonca stať práve teraz. Je však potrebné zvážiť ešte jednu vec - budete vedieť, či sa to stane vášmu rozhovoru.
Dostanete upozornenie vždy, keď je osoba pridaná do skupinového chatu, šifrovaná alebo nie.
Prvá vec, ktorú server vykoná po pridaní člena, je upozorniť každého ďalšieho člena skupiny, že „Jerry bol pridaný do rozhovoru.“ Zobrazí sa správa, ktorá vás informuje o tom, že niekto bol pridaný, a všetci ostatní. Keď Jerry prichádza na súkromnú chatu so svojimi zlými vtipmi a lacným pivom a nikto ho nepozval, bude to znamenie, že niečo nie je v poriadku a nikto by nemal považovať všetko, čo sa chystá napísať, za súkromné. Zbalte sa a presuňte sa na ďalší rozhovor bez Jerryho a možno aj inej služby, ktorá by ho nenechala padnúť.
Takže nikto si nebude môcť tajne vyskúšať váš šifrovaný skupinový rozhovor, ale to stále narúša šifrovanie typu end-to-end všetkými možnými spôsobmi. Okamžite to treba opraviť a možno je potrebné prepracovať aj celú metódu riadenia skupiny. Všetci musíme úplne poškriabať hlavy a pýtať sa, ako niečo podobné týmto pošmyknutím programátorov a audítorov kódov. Je to smiešny predpoklad, ktorý sa nikdy nevyužije, ale napriek tomu.
Čo musíte urobiť
Skutočne nič. Oceňujte prácu, ktorú pri hľadaní tejto chyby urobili Rösler, Mainka a Schwenk, pretože výskum v oblasti bezpečnosti je nevďačná a často necitlivá práca, ale v minulosti nemusíte svoju rutinu vôbec meniť. Spôsob overenia žiadosti o pridanie člena do šifrovaného skupinového chatu vyriešia ľudia, ktorí krátko udržiavajú otáčanie kolies WhatsApp a zmení sa z chyby, ktorá sa nikdy nevyužije, na chybu, ktorú už nie je možné využiť all.
Dôležité je, že ste venovali pozornosť, pretože ďalšou chybou môže byť veľmi dobrá chyba, ktorá si vyžaduje zásah z vašej strany. A bude tu ešte jedna vada, takže sa neustále snažte venovať pozornosť.
