Egy kriptográfus fedezte fel, hogy a WhatsApp sajátosan használja a végpontig terjedő titkosítást, így egy olyan kiskaput hagy, amelyen keresztül akár a titkosszolgálatok is hozzáférhetnek a felhasználók üzeneteihez. A privátszféra mellett kampányolók szerint ez fenyegetést jelent a szólásszabadságra, ám ennél is súlyosabb, hogy a cég visszaélt a felhasználók bizalmával, holott teljes biztonságot ígért. A Facebook által felvásárolt WhatsApp csevegőjében egy olyan sebezhetőséget fedeztek fel, amelyen keresztül az anyacég, vagy akár a hírszerző szervek is hozzáférhetnek a felhasználók titkosított üzeneteihez. A közösségi óriás eddig váltig állította: a teljes titkosításnak köszönhetően senki nem tudja azokat elolvasni, még maga a cég és alkalmazottai sem. A titkosítás azután vált kiemelten fontossá egy felhasználói réteg számára, miután Snowden kiszivárogtatta az amerikai és brit titkosszolgálatok lehallgatási módszereit. A felhasználók megbízható platformokra kezdtek vágyni, ezért a legtöbb szolgáltatás elkezdett teljes titkosítást alkalmazni. Különösen a Telegram és a Signal vált ismertté biztonságáról, később pedig titkosítani kezdtek a Viber, a Messenger, és a WhatsApp csevegőkön belül is. Visszaéltek a felhasználók bizalmával Forrás: AFP/Stan Honda A legbiztonságosabb appnak hitték Ennél is fájóbb pont, hogy az Amnesty International jogvédő szervezet tavaly kiadott egy listát az általa legbiztonságosabbnak tartott, felhasználók üzeneteit titkosító csevegőalkalmazásokról. Akkor első helyen végzett a Facebook két szolgáltatása, a Messenger és a WhatsApp, ennek fényében még inkább ironikus a kiskapu létezése. Bár már a lista megjelenésekor is sokan szkeptikusak voltak a rangsorolással szemben, elvégre mégis a Facebook óriáscég által birtokolt szolgáltatásról van szó, ami a felhasználóiról gyűjtött adatokból él. A felhasználók már akkor is aggódtak az adataik miatt, amikor a Facebook bejelentette, hogy felvásárolja a csevegőt. A teljes rangsor Forrás: Amnesty International A kihasználható kiskapu híre pedig ismét bizonyítja, hogy ez az egészséges gyanakvás nem volt alaptalan. Bár a csevegőóriás teljes biztonságot ígért, egy ponton mégis elbukik az – magyarázatuk szerint szándékosan, méghozzá a felhasználók miatt. Sajátosan használták fel A rést a Berkeley Egyetem kiberbiztonsági szakembere és kriptográfusa, Tobias Boelter fedezte fel, aki a Facebookot már 2016 ápriliában értesítette észrevételéről. A Guardian kérdésére a szakember elárulta, hogy ha a WhatsAppot a kormány arra kérné, hogy adjon át üzeneteket, azt megtudná tenni. Holott a titkosítás lényege épp az lenne, hogy akarattal se tudják kikérni az üzeneteket, mert az technikailag nem kivitelezhető. A WhatsApp által is alkalmazott végpontig terjedő titkosításnak valóban védelmet kéne nyújtania, a WhatsApp viszont egyedi módon implementálta azt. A WhatsApp kicsit másként használja a protokollt, mint a többi valóban titkosító csevegő Forrás: dpa Picture-Alliance/AFP/Armin Weigel A WhatsApp az Open Whisper Systems Signal nevű protokollját használja a titkosításhoz. Mindenképpen hozzá kell tenni, hogy a sérülékenység nem a Signal protokoll alapvető velejárója, csak a WhatsApp implementálta azt kicsit másképp. A Signal azonos nevű csevegőjét nem mellesleg Edward Snowden is ajánlja és bevallása szerint maga is használja. A végponttól végpontig terjedő (end-to-end) titkosítás lényege, hogy a felhasználóknak két kulcs kell az üzenetváltáshoz, egy privát és egy publikus. Üzenet küldésekor a küldő elkéri a címzett nyilvános kulcsát a szolgáltatás szerverétől, ezt használva küldi el az üzenetet. Hogy a címzett azt el tudja olvasni, kell neki egy privát kulcs, ami csak és kizárólag az ő telefonján található. Ezzel tudja visszafejteni az üzenetet. A Facebook miatt aggódtak a WhatsApp felhasználói Forrás: Origo A WhatsApp esetében viszont ez másképp történik: a csevegő az offline felhasználók esetében egy új titkosító kulcsot generál az üzenet kódolásához. Ha a címzett nem elérhető (mondjuk új készüléket vásárolt, vagy éppen nem éri el az alkalmazást), akkor a küldő üzeneteit egy újonnan generált kóddal lehet kódolni, majd azt megint kiküldeni. Ebben a folyamatban pedig könnyen el lehet fogni a felhasználó üzeneteit, azt megteheti a cég vagy a hírszerzők. Alapvető esetben a felhasználónak értesítést kellene kapnia arról, hogy a címzett eszközének kulcsa megváltozott, azaz nem biztos a személyazonossága. A felhasználók miatt van A kriptográfus hiába értesítette a Facebookot már tavaly áprilisban a kihasználható résről, a cég válasza szerint tudott arról, és nem dolgoznak annak megváltoztatásán. A WhatsApp szóvivője annyit reagált Guardian megkeresésére, hogy van lehetőség arra, hogy a felhasználó értesítést kapjon a WhatsAppban, ha a címzett biztonsági kódja megváltozott. Ezt a fiókbeállításai közt kapcsolhatja be. A kulcskezelésre azt válaszolták: az a felhasználók javát szolgálja. Ezzel a kulcsgenerálással akkor is megérkezik a címzett számára az üzenet, ha eszközt vált, másképp elveszne útközben. Azon kérdésre, hogy volt-e már olyan eset, amikor adatigénylésre vonatkozó kormányzati kérelmet teljesítettek, azt közölte a cég, hogy nem biztosít hátsó ajtót a kormánynak, és elutasítja az erre vonatkozó kéréseket. KAPCSOLÓDÓ CIKKEK Let's block ads! (Why?) Forrás...
