Elolvashatók a WhatsApp titkos üzenetei

A témát ebben részben 'Hírek!' CF dealer hozta létre. Ekkor: 2017. január 19..

  1. CF dealer / Tulajdonos Vezetőségi tag

    Csatlakozott:
    2011. június 15.
    Hozzászólások:
    24,509
    Kapott lájkok:
    2,269
    Beküldött adatlapok:
    0
    Nem:
    Férfi
    Lakhely :
    deutschland
    Hangjelzés a Chaten:
    nem
    Egy kriptográfus fedezte fel, hogy a WhatsApp sajátosan használja a végpontig terjedő titkosítást, így egy olyan kiskaput hagy, amelyen keresztül akár a titkosszolgálatok is hozzáférhetnek a felhasználók üzeneteihez. A privátszféra mellett kampányolók szerint ez fenyegetést jelent a szólásszabadságra, ám ennél is súlyosabb, hogy a cég visszaélt a felhasználók bizalmával, holott teljes biztonságot ígért.


    A Facebook által felvásárolt WhatsApp csevegőjében egy olyan sebezhetőséget fedeztek fel, amelyen keresztül az anyacég, vagy akár a hírszerző szervek is hozzáférhetnek a felhasználók titkosított üzeneteihez. A közösségi óriás eddig váltig állította: a teljes titkosításnak köszönhetően senki nem tudja azokat elolvasni, még maga a cég és alkalmazottai sem.

    A titkosítás azután vált kiemelten fontossá egy felhasználói réteg számára, miután Snowden kiszivárogtatta az amerikai és brit titkosszolgálatok lehallgatási módszereit.

    A felhasználók megbízható platformokra kezdtek vágyni, ezért a legtöbb szolgáltatás elkezdett teljes titkosítást alkalmazni. Különösen a Telegram és a Signal vált ismertté biztonságáról, később pedig titkosítani kezdtek a Viber, a Messenger, és a WhatsApp csevegőkön belül is.

    [​IMG]

    Visszaéltek a felhasználók bizalmával

    Forrás: AFP/Stan Honda
    A legbiztonságosabb appnak hitték


    Ennél is fájóbb pont, hogy az Amnesty International jogvédő szervezet tavaly kiadott egy listát az általa legbiztonságosabbnak tartott, felhasználók üzeneteit titkosító csevegőalkalmazásokról. Akkor első helyen végzett a Facebook két szolgáltatása, a Messenger és a WhatsApp, ennek fényében még inkább ironikus a kiskapu létezése.

    Bár már a lista megjelenésekor is sokan szkeptikusak voltak a rangsorolással szemben, elvégre mégis a Facebook óriáscég által birtokolt szolgáltatásról van szó, ami a felhasználóiról gyűjtött adatokból él.

    A felhasználók már akkor is aggódtak az adataik miatt, amikor a Facebook bejelentette, hogy felvásárolja a csevegőt.

    [​IMG]

    A teljes rangsor

    Forrás: Amnesty International

    A kihasználható kiskapu híre pedig ismét bizonyítja, hogy ez az egészséges gyanakvás nem volt alaptalan. Bár a csevegőóriás teljes biztonságot ígért, egy ponton mégis elbukik az – magyarázatuk szerint szándékosan, méghozzá a felhasználók miatt.

    Sajátosan használták fel


    A rést a Berkeley Egyetem kiberbiztonsági szakembere és kriptográfusa, Tobias Boelter fedezte fel, aki a Facebookot már 2016 ápriliában értesítette észrevételéről.

    A Guardian kérdésére a szakember elárulta, hogy ha a WhatsAppot a kormány arra kérné, hogy adjon át üzeneteket, azt megtudná tenni. Holott a titkosítás lényege épp az lenne, hogy akarattal se tudják kikérni az üzeneteket, mert az technikailag nem kivitelezhető.

    A WhatsApp által is alkalmazott végpontig terjedő titkosításnak valóban védelmet kéne nyújtania, a WhatsApp viszont egyedi módon implementálta azt.

    [​IMG]

    A WhatsApp kicsit másként használja a protokollt, mint a többi valóban titkosító csevegő

    Forrás: dpa Picture-Alliance/AFP/Armin Weigel

    A WhatsApp az Open Whisper Systems Signal nevű protokollját használja a titkosításhoz. Mindenképpen hozzá kell tenni, hogy

    a sérülékenység nem a Signal protokoll alapvető velejárója, csak a WhatsApp implementálta azt kicsit másképp. A Signal azonos nevű csevegőjét nem mellesleg Edward Snowden is ajánlja és bevallása szerint maga is használja.

    A végponttól végpontig terjedő (end-to-end) titkosítás lényege, hogy a felhasználóknak két kulcs kell az üzenetváltáshoz, egy privát és egy publikus. Üzenet küldésekor a küldő elkéri a címzett nyilvános kulcsát a szolgáltatás szerverétől, ezt használva küldi el az üzenetet.

    Hogy a címzett azt el tudja olvasni, kell neki egy privát kulcs, ami csak és kizárólag az ő telefonján található.

    Ezzel tudja visszafejteni az üzenetet.

    [​IMG]

    A Facebook miatt aggódtak a WhatsApp felhasználói

    Forrás: Origo

    A WhatsApp esetében viszont ez másképp történik: a csevegő az offline felhasználók esetében egy új titkosító kulcsot generál az üzenet kódolásához.

    Ha a címzett nem elérhető (mondjuk új készüléket vásárolt, vagy éppen nem éri el az alkalmazást), akkor a küldő üzeneteit egy újonnan generált kóddal lehet kódolni, majd azt megint kiküldeni. Ebben a folyamatban pedig könnyen el lehet fogni a felhasználó üzeneteit, azt megteheti a cég vagy a hírszerzők.

    Alapvető esetben a felhasználónak értesítést kellene kapnia arról, hogy a címzett eszközének kulcsa megváltozott, azaz nem biztos a személyazonossága.

    A felhasználók miatt van


    A kriptográfus hiába értesítette a Facebookot már tavaly áprilisban a kihasználható résről, a cég válasza szerint tudott arról, és nem dolgoznak annak megváltoztatásán.

    A WhatsApp szóvivője annyit reagált Guardian megkeresésére, hogy van lehetőség arra, hogy a felhasználó értesítést kapjon a WhatsAppban, ha a címzett biztonsági kódja megváltozott. Ezt a fiókbeállításai közt kapcsolhatja be.

    A kulcskezelésre azt válaszolták: az a felhasználók javát szolgálja. Ezzel a kulcsgenerálással akkor is megérkezik a címzett számára az üzenet, ha eszközt vált, másképp elveszne útközben.

    Azon kérdésre, hogy volt-e már olyan eset, amikor adatigénylésre vonatkozó kormányzati kérelmet teljesítettek, azt közölte a cég, hogy nem biztosít hátsó ajtót a kormánynak, és elutasítja az erre vonatkozó kéréseket.

    KAPCSOLÓDÓ CIKKEK

    Let's block ads! (Why?)

    Forrás...