Pēdējā laikā daudz tika runāts par jaunu izmantošanas veidu WhatsApp un apiet pilnīgu šifrēšanu, ko uzņēmums vēlas pieminēt, kad vien tas ir iespējams. Esmu redzējis tvītus un komentārus, kas aptver gammu no “tas ir FUD” līdz runām par kaut kādām aizmugures durvīm, ko Facebook bija instalējis.
Labā ziņa ir tā, ka tas nav ne viens, ne otrs. Patiesībā tā nav viena no tām lietām, par kurām būtu jāuztraucas, un tā vietā tā ir viena no tām lietām, kas liek aizdomāties, kā tas vispār notika, jo tas ir diezgan pavirši. Bet neuztraucieties — tas tiks labots ilgi pirms kaut kas notiks.
Kas tas ir
Pētnieki Pols Rēslers, Kristians Mainka un Jorgs Švenks Rūras Universitātē Bohumā, Vācijā izdeva pētniecisko darbu (.pdf saite), kas atklāja savdabīgu trūkumu WhatsApp grupas tērzēšanas administrācijā. WhatsApp piedāvā tādu pašu pilnīgu šifrēšanu grupu tērzēšanai, ko tā nodrošina atsevišķām tērzēšanas sarunām, un tas parasti nozīmē, ka mums vajadzētu būt iespējai justies droši, zinot, ka mūsu teikto nelasīs neviens, kam nevajadzētu to lasīt, ja vien kāds no grupas dalībniekiem to neatļaus notikt.
Acīmredzot teorētiski ir iespējams, ka svešinieks var pievienoties grupas tērzēšanai vietnē WhatsApp. Šeit atslēgas vārdi ir “teorētiski” un “iespējams”. Es paskaidrošu.
WhatsApp piedāvā grupu ziņojumapmaiņu, kas izmanto spēcīgu pilnīgu šifrēšanu.
WhatsApp grupas tērzēšanā viens vai vairāki sākotnējie dalībnieki ir administratori. No servera viedokļa tas nozīmē, ka šīs personas var pievienot un noņemt personas no grupas. Pagaidām viss ir labi, lai gan darbojas tā, ka administrators nosūta signālu katram grupas dalībniekam ar viņa paraksta atslēgām un pretī katrs dalībnieks nosūta atpakaļ ziņu ar paraksta atslēgām, tad ziņojuma autors paziņo katram dalībniekam, ka grupā tagad ir jauna persona — tas ir nedaudz apgrūtināts, lai izveidotu labu lietotāju saskarne. Ja neesat administrators, vienīgais, ko zināt, ir tas, ka redzat ziņojumu, ka Džerijs tagad ir grupas dalībnieks. Varat to pieņemt vai iziet no tērzēšanas.
Līdzīgs trūkums tika konstatēts ar grupas ziņojumapmaiņu, izmantojot signālu.
Problēma ir tāda, ka WhatsApp savos serveros pareizi autentificē šos grupu pārvaldības pieprasījumus. WhatsApp serverim ir pareizi jāidentificē ziņojuma sūtītājs, kas pievienotu personu grupas tērzēšanai. Persona nosūta ziņojumu, kas identificē gan grupu, gan dalībnieku, kuru tā vēlas pievienot, un serveris pārbauda, vai persona, kas to nosūtīja, patiešām ir tērzēšanas administrators. Šie ziņojumi nav pilnībā šifrēti, un tā vietā tiek izmantota standarta transporta šifrēšana — ziņojums, kas nāk no tērzēšanas administratora un tiek nosūtīts uz serveri, kas pieprasa lietotāja pievienošanu a čats ir sūtītājs nav parakstījis ar savu šifrēšanas atslēgu.
Tas nozīmē, ka WhatsApp serveris jebkurā laikā var pievienot jebkuru lietotāju jebkurai grupai. The serveris var, nevis cits lietotājs. Tas ir svarīgi, un tas nozīmē, ka jebkura WhatsApp grupas tērzēšanā sagaidāmā konfidencialitāte ir atkarīga tikai no uzticēšanās WhatsApp tērzēšanas serverim. Tādējādi tiek pārkāpts pilnīgas šifrēšanas mērķis, kas ir izstrādāts tā, lai privātums tiktu garantēts pat tad, ja serveris ir apdraudēts, jo ziņojumu var atšifrēt tikai sūtītājs un saņēmējs.
Un tad internets zaudē savu kolektīvo prātu, jo tas ir tas, ko internets patiešām labi dara.
Tas nenotiks, bet joprojām ir jālabo
Vienīgais veids, kā šo trūkumu var izmantot, ir kāds, kam ir piekļuve serverim. Tas nozīmē, ka serveris tiek uzlauzts, darbinieks rīkojas negodprātīgi, vai trīs burtu valsts aģentūra iesniedz orderi. Jebkura no šīm lietām varētu notikt, varēja notikt pagātnē un varētu notikt pat tagad. Bet ir jāņem vērā vēl viena lieta — jūs uzzināsit, vai tas notiks ar jūsu tērzēšanu.
Jūs saņemat paziņojumu ikreiz, kad kāda persona tiek pievienota grupas tērzēšanai neatkarīgi no tā, vai tā ir šifrēta vai ne.
Pirmā lieta, ko serveris dara pēc dalībnieka pievienošanas, ir par to informēt visus pārējos grupas dalībniekus "Džerijs tika pievienots tērzēšanai." Jūs redzēsit ziņojumu, kurā teikts, ka kāds ir pievienots, tāpat arī visi cits. Kad Džerijs ierodas uz privāto tērzēšanas ballīti ar saviem sliktajiem jokiem un lēto alu, un neviens viņu neaicināja, tas ir tā būs zīme, ka kaut kas nav kārtībā, un nevienam nevajadzētu uzskatīt neko, ko viņi gatavojas rakstīt Privāts. Savāciet mantas un pārejiet uz citu tērzēšanu bez Džerija un, iespējams, pat citu pakalpojumu, kas neļaus viņam avarēt.
Tāpēc neviens nevarēs slepeni pārbaudīt jūsu šifrēto grupas tērzēšanu, taču tas joprojām visos iespējamos veidos apdraud pilnīgu šifrēšanu. Tas ir nekavējoties jālabo, un varbūt pat jāpārveido visa grupas pārvaldības metode. Vismaz mums visiem ir jāsaskrāpē galvas un jābrīnās, kā kaut kas tāds paslīd programmētājiem un kodu auditoriem. Tas ir smieklīgs pieņēmums, kas nekad netiks izmantots, bet tomēr.
Kas jums jādara
Nekas, tiešām. Novērtējiet Rēslera, Mainkas un Švenka darbu, lai atrastu šo trūkumu, jo drošības izpēte ir nepateicīgs un bieži vien prātu satriecošs darbs, taču pagātnē jums nav īsti jāmaina rutīna visi. Autentifikācijas metodi pieprasījuma pievienošanai šifrētai grupas tērzēšanai izšķirs personas, kuras patur WhatsApp. riteņi drīz griežas, un tas mainīsies no defekta, kas nekad netiks izmantots, uz trūkumu, kuru vairs nevar izmantot visi.
Svarīgi ir tas, ka jūs pievērsāt uzmanību, jo Nākamais Trūkums var būt tāds, kura dēļ jums ir jārīkojas. Un būs vēl viens trūkums, tāpēc noteikti pievērsiet uzmanību.