शोषण के एक नए तरीके के बारे में हाल ही में बहुत सारी बातें हुईं WhatsApp और एंड-टू-एंड एन्क्रिप्शन को बायपास करें, कंपनी यह उल्लेख करना पसंद करती है कि वह जब भी संभव हो सके ऐसा करती है। मैंने ऐसे ट्वीट और टिप्पणियाँ देखी हैं जो "यह FUD है" से लेकर फेसबुक द्वारा स्थापित किसी पिछले दरवाजे के बारे में बात करने तक फैली हुई हैं।
अच्छी खबर यह है कि ऐसा कुछ भी नहीं है। वास्तव में, यह वास्तव में उन चीजों में से एक नहीं है जिनके बारे में आपको चिंतित होने की आवश्यकता है, बल्कि यह उन चीजों में से एक है जो आपको आश्चर्यचकित करती है कि यह पहली बार में कैसे हुआ क्योंकि यह बहुत ही गंदा है। लेकिन चिंता न करें - कुछ भी होने से बहुत पहले ही इसे ठीक कर लिया जाएगा।
यह क्या है
जर्मनी के बोचुम में रूहर-यूनिवर्सिटैट में शोधकर्ता पॉल रोस्लर, क्रिश्चियन मेनका और जोर्ग श्वेंक एक शोध पत्र जारी किया (.pdf लिंक) जिसमें व्हाट्सएप के ग्रुप चैट एडमिनिस्ट्रेशन में एक अजीब खामी पाई गई। व्हाट्सएप समूह चैट के लिए वही एंड-टू-एंड एन्क्रिप्शन प्रदान करता है जो वह व्यक्तिगत चैट के लिए करता है, और आमतौर पर इसका मतलब है कि हमें ऐसा करने में सक्षम होना चाहिए यह जानकर सुरक्षित महसूस करें कि हम जो बातें कहते हैं, वह कोई भी नहीं पढ़ेगा, जिसे इसे नहीं पढ़ना चाहिए, जब तक कि समूह के सदस्यों में से कोई एक इसे पढ़ने की अनुमति न दे। होना।
जाहिरा तौर पर, किसी अजनबी के लिए व्हाट्सएप पर ग्रुप चैट में खुद को जोड़ना सैद्धांतिक रूप से संभव है। "सैद्धांतिक रूप से" और "संभव" यहां प्रमुख शब्द हैं। मैं समझाता हूँ।
व्हाट्सएप ग्रुप मैसेजिंग की पेशकश करता है जो मजबूत एंड-टू-एंड एन्क्रिप्शन का उपयोग करता है।
व्हाट्सएप ग्रुप चैट में मूल सदस्यों में से एक या अधिक एडमिन होता है। सर्वर के दृष्टिकोण से, इसका मतलब है कि ये लोग समूह में लोगों को जोड़ने और हटाने में सक्षम हैं। अब तक सब कुछ अच्छा है, भले ही यह जिस तरह से काम करता है - एक व्यवस्थापक समूह के प्रत्येक सदस्य को अपनी हस्ताक्षर कुंजी के साथ एक संकेत भेजता है और बदले में, प्रत्येक सदस्य एक रिटर्न भेजता है अपनी हस्ताक्षर कुंजी के साथ संदेश भेजें, फिर संदेश का प्रवर्तक प्रत्येक सदस्य को सूचित करता है कि समूह में अब एक नया व्यक्ति है - एक अच्छा उपयोगकर्ता बनाने के लिए यह थोड़ा कठिन है इंटरफेस। यदि आप व्यवस्थापक नहीं हैं, तो आप केवल यही जानते हैं कि आपको एक संदेश दिखाई देता है कि जेरी अब समूह का सदस्य है। आप या तो इसे स्वीकार कर सकते हैं या चैट छोड़ सकते हैं।
सिग्नल के जरिए ग्रुप मैसेजिंग में भी ऐसी ही खामी पाई गई थी।
समस्या यह है कि व्हाट्सएप इन समूह प्रबंधन अनुरोधों को अपने सर्वर पर ठीक से प्रमाणित नहीं कर रहा है। व्हाट्सएप सर्वर को संदेश भेजने वाले की उचित पहचान करने की आवश्यकता होती है जो किसी व्यक्ति को समूह चैट में जोड़ देगा। व्यक्ति एक संदेश भेजता है जो समूह और उस सदस्य दोनों को आईडी देता है जिसे वह जोड़ना चाहता है और सर्वर यह सुनिश्चित करने के लिए जांच करता है कि जिसने इसे भेजा है वह वास्तव में एक चैट प्रशासक है। ये संदेश एंड-टू-एंड एन्क्रिप्टेड नहीं हैं, और इसके बजाय मानक ट्रांसपोर्ट एन्क्रिप्शन का उपयोग करते हैं - संदेश एक चैट व्यवस्थापक से आ रहा है और एक सर्वर पर जा रहा है जो एक उपयोगकर्ता को इसमें जोड़ने का अनुरोध करता है चैट है प्रेषक द्वारा अपनी एन्क्रिप्शन कुंजी के साथ हस्ताक्षरित नहीं.
इसका मतलब है कि व्हाट्सएप सर्वर किसी भी समय, किसी भी उपयोगकर्ता को किसी भी समूह में जोड़ सकता है। सर्वर कर सकता है, कोई अन्य उपयोगकर्ता नहीं। यह महत्वपूर्ण है, और इसका मतलब है कि व्हाट्सएप ग्रुप चैट में अपेक्षित कोई भी गोपनीयता पूरी तरह से व्हाट्सएप चैट सर्वर पर भरोसा करने पर निर्भर करती है। यह एंड-टू-एंड एन्क्रिप्शन के पूरे उद्देश्य को विफल कर देता है, जिसे डिज़ाइन किया गया है ताकि सर्वर से समझौता होने पर भी गोपनीयता की गारंटी दी जा सके क्योंकि केवल प्रेषक और प्राप्तकर्ता ही किसी संदेश को डिक्रिप्ट कर सकते हैं।
और फिर इंटरनेट अपना सामूहिक दिमाग खो देता है क्योंकि इंटरनेट वास्तव में यही करने में अच्छा है।
ऐसा नहीं होगा लेकिन अभी भी सुधार की जरूरत है
इस दोष का फायदा उठाने का एकमात्र तरीका सर्वर तक पहुंच रखने वाला कोई व्यक्ति ही हो सकता है। इसका मतलब है कि सर्वर से समझौता हो जाता है, या कोई कर्मचारी दुष्ट हो जाता है, या तीन अक्षरों वाली सरकारी एजेंसी वारंट दायर करती है। इनमें से कोई भी चीज़ घटित हो सकती है, अतीत में घटित हो सकती है, और अभी भी घटित हो सकती है। लेकिन एक और बात पर विचार करने की जरूरत है - अगर आपकी चैट के साथ ऐसा होता है तो आपको पता चल जाएगा।
जब भी किसी व्यक्ति को समूह चैट में जोड़ा जाता है, चाहे वह एन्क्रिप्टेड हो या नहीं, आपको सूचित किया जाता है।
किसी सदस्य को जोड़ने के बाद सर्वर जो पहली चीज़ करता है, वह समूह के प्रत्येक अन्य सदस्य को सूचित करता है "जेरी को चैट में जोड़ा गया था।" आपको संदेश दिखाई देगा जिसमें आपको बताया जाएगा कि किसी को जोड़ा गया है, और ऐसा ही सभी को भी होगा अन्यथा। जब जेरी अपने ख़राब चुटकुलों और सस्ती बियर के साथ निजी चैट पार्टी में आता है, और किसी ने उसे आमंत्रित नहीं किया, तो यही है यह एक संकेत होगा कि कुछ गलत है और किसी को भी उस चीज़ पर विचार नहीं करना चाहिए जिसे वे टाइप करने जा रहे हैं निजी। पैक अप करें और जेरी के बिना किसी अन्य चैट पर जाएं और शायद एक अलग सेवा भी जो उसे क्रैश नहीं होने देगी।
इसलिए कोई भी आपके एन्क्रिप्टेड समूह चैट को गुप्त रूप से जांचने में सक्षम नहीं होगा, लेकिन यह अभी भी हर संभव तरीके से एंड-टू-एंड एन्क्रिप्शन को कमजोर करता है। इसे तुरंत ठीक करने की आवश्यकता है, और शायद संपूर्ण समूह प्रबंधन पद्धति को भी नया रूप देने की आवश्यकता है। कम से कम, हम सभी को अपना सिर खुजलाने और आश्चर्य करने की ज़रूरत है कि प्रोग्रामर और कोड ऑडिटर इस तरह की चीज़ कैसे छोड़ देते हैं। यह एक हास्यास्पद आधार है जिसका कभी भी शोषण नहीं किया जाएगा, लेकिन फिर भी।
आपको क्या करने की जरूरत है
कुछ भी सच नहीं। सुरक्षा अनुसंधान के कारण इस दोष को खोजने में रोस्लर, मेनका और श्वेन्क द्वारा किए गए कार्य की सराहना करें यह एक धन्यवादहीन और अक्सर दिमाग सुन्न करने वाला काम है, लेकिन इसके बाद आपको वास्तव में अपनी दिनचर्या बदलने की ज़रूरत नहीं है सभी। किसी सदस्य को एन्क्रिप्टेड ग्रुप चैट में जोड़ने के अनुरोध को प्रमाणित करने का एक तरीका व्हाट्सएप रखने वाले लोगों द्वारा सुलझाया जाएगा पहिए शीघ्र ही घूमने लगेंगे और यह उस दोष से बदल जाएगा जिसका कभी भी दोहन नहीं किया जा सकेगा, एक ऐसे दोष में बदल जाएगा जिसका अब और दोहन नहीं किया जा सकेगा सभी।
महत्वपूर्ण बात यह है कि आप ध्यान दे रहे थे, क्योंकि अगला दोष वह हो सकता है जिसके लिए आपकी ओर से कार्रवाई की आवश्यकता हो। और एक और दोष होगा, इसलिए सुनिश्चित करें कि आप ध्यान देते रहें।