Pastaruoju metu daug kalbama apie naują išnaudojimo būdą WhatsApp ir apeiti nuo galo iki galo šifravimą, kurį įmonė mėgsta paminėti, kad ji turi, kai tik gali. Mačiau tviterį ir komentarus, kuriuose svyruoja nuo „tai FUD“ iki kalbų apie tam tikras „Facebook“ įdiegtas užpakalines duris.
Geros naujienos yra tai, kad tai ne. Tiesą sakant, tai tikrai nėra vienas iš tų dalykų, dėl kurių reikia susirūpinti, o vienas iš tų dalykų, kurie verčia susimąstyti, kaip tai kada nors atsitiko, nes tai gana aplaistyta. Tačiau nesijaudinkite – tai bus ištaisyta dar ilgai, kol kas nors atsitiks.
Kas tai yra
Tyrėjai Paulas Rösleris, Christianas Mainka ir Jörgas Schwenkas iš Ruhr universiteto Bochume, Vokietijoje išleido mokslinį darbą (.pdf nuoroda), kuri aptiko savotišką WhatsApp grupinių pokalbių administravimo trūkumą. „WhatsApp“ siūlo tą patį visišką šifravimą grupiniams pokalbiams, kaip ir individualiems pokalbiams, ir tai paprastai reiškia, kad turėtume turėti galimybę jaustis saugūs žinodami, kad mūsų sakomų dalykų neskaitys niekas, kuris neturėtų to skaityti, nebent vienas iš grupės narių leis. atsitikti.
Matyt, teoriškai įmanoma, kad nepažįstamasis galėtų prisijungti prie grupės pokalbio „WhatsApp“. Čia pagrindiniai žodžiai yra „teoriškai“ ir „galima“. Aš paaiškinsiu.
„WhatsApp“ siūlo grupinius pranešimus, kuriuose naudojamas stiprus šifravimas nuo galo iki galo.
„WhatsApp“ grupės pokalbyje vienas ar keli pirminiai nariai yra administratoriai. Serverio požiūriu tai reiškia, kad šie žmonės gali pridėti ir pašalinti žmones iš grupės. Kol kas viskas gerai, nors veikia taip – administratorius siunčia signalą kiekvienam grupės nariui su savo pasirašymo raktais ir mainais kiekvienas narys siunčia grąžą laišką su savo pasirašymo raktais, tada pranešimo kūrėjas praneša kiekvienam nariui, kad dabar grupėje yra naujas asmuo - tai šiek tiek kliūtis norint sukurti gerą vartotoją sąsaja. Jei nesate administratorius, žinote tik tai, kad matote pranešimą, kad Džeris dabar yra grupės narys. Galite su tuo sutikti arba išeiti iš pokalbio.
Panašus trūkumas buvo rastas naudojant grupinius pranešimus per signalą.
Problema ta, kad „WhatsApp“ netinkamai autentifikuoja šias grupės valdymo užklausas savo serveriuose. „WhatsApp“ serveris turi tinkamai identifikuoti pranešimo, kuris įtrauktų asmenį į grupės pokalbį, siuntėją. Asmuo siunčia pranešimą, kuriame identifikuojami ir grupės, ir nario, kurį jis nori įtraukti, ID, o serveris patikrina, ar jį atsiuntęs asmuo iš tikrųjų yra pokalbių administratorius. Šie pranešimai nėra visiškai užšifruoti, o vietoj jų naudojamas standartinis perdavimo šifravimas – pranešimas, gautas iš pokalbių administratoriaus ir nukreiptas į serverį, kuriame prašoma pridėti vartotoją prie a pokalbis yra siuntėjas nepasirašė savo šifravimo raktu.
Tai reiškia, kad „WhatsApp“ serveris gali bet kada pridėti bet kurį norimą vartotoją prie bet kurios grupės. The serveris gali, o ne kitas vartotojas. Tai svarbu, o tai reiškia, kad bet koks privatumas, kurio tikimasi „WhatsApp“ grupės pokalbyje, priklauso tik nuo pasitikėjimo „WhatsApp“ pokalbių serveriu. Tai pažeidžia visą galutinio šifravimo tikslą, kuris sukurtas taip, kad būtų užtikrintas privatumas, net jei serveris yra pažeistas, nes tik siuntėjas ir gavėjas gali iššifruoti pranešimą.
Ir tada internetas praranda savo kolektyvinį protą, nes tai yra tai, ką internetas tikrai gerai daro.
Tai neįvyks, bet vis tiek reikia taisyti
Vienintelis būdas, kuriuo ši klaida gali būti išnaudota, yra tai padaryti kas nors, turintis prieigą prie serverio. Tai reiškia, kad serveris pažeidžiamas, darbuotojas sukčiauja, arba trijų raidžių vyriausybinė agentūra pateikia orderį. Bet kuris iš tų dalykų gali įvykti, galėjo įvykti praeityje ir netgi gali įvykti dabar. Tačiau reikia atsižvelgti į dar vieną dalyką – sužinosite, ar tai nutiks jūsų pokalbiui.
Jums bus pranešta, kai asmuo įtraukiamas į grupės pokalbį, nesvarbu, užšifruotas ar ne.
Pirmas dalykas, kurį serveris daro po nario pridėjimo, tai praneša kiekvienam kitam grupės nariui – Džeris buvo įtrauktas į pokalbį. Pamatysite pranešimą, kuriame bus nurodyta, kad kažkas buvo pridėtas, taip pat visi Kitas. Kai Džeris atvyksta į privatų pokalbių vakarėlį su savo blogais juokeliais ir pigiu alumi, o niekas jo nekvietė, tai yra bus ženklas, kad kažkas negerai, ir niekas neturėtų laikyti nieko, ką ruošiasi įvesti privatus. Susipakuokite ir pereikite prie kito pokalbio be Džerio ir galbūt net kitos paslaugos, kuri neleis jam sudužti.
Taigi niekas negalės slapta patikrinti jūsų užšifruoto grupės pokalbio, tačiau tai vis tiek kenkia nuo galo iki galo šifravimui visais įmanomais būdais. Ją reikia iš karto taisyti, o gal net visos grupės valdymo metodą pertvarkyti. Bent jau mes visi turime laužyti galvą ir stebėtis, kaip kažkas panašaus paslysta programuotojams ir kodų auditoriams. Tai juokinga prielaida, kuri niekada nebus išnaudojama, bet vis tiek.
Ką reikia padaryti
Nieko tikrai. Vertinkite Röslerio, Mainkos ir Schwenk atliktą darbą ieškant šio trūkumo, nes saugumo tyrimai yra nedėkingas ir dažnai slegiantis darbas, tačiau praeityje jums tikrai nereikia keisti savo rutinos visi. Prašymo įtraukti narį į šifruotą grupės pokalbį autentifikavimo metodą išspręs žmonės, kurie saugo WhatsApp ratai greitai sukasi ir tai iš trūkumo, kuris niekada nebus išnaudojamas, pasikeis į trūkumą, kurio nebegalima išnaudoti visi.
Svarbu, kad atkreipėte dėmesį, nes Kitas Trūkumas gali būti toks, dėl kurio jums reikia imtis veiksmų. Ir bus dar vienas trūkumas, todėl būtinai atkreipkite dėmesį.