Κυριακή, 15 Ιανουαρίου 2017

Guardian: Aνησυχία για τα κενά ασφαλείας στα κρυπτογραφημένα μηνύματα του WhatsApp





Mία «αδυναμία» στο σύστημα ασφάλειας του WhatsApp μπορεί χρησιμοποιηθεί κατά τέτοιον τρόπο ώστε να επιτρέψει στο Facebook και σε άλλα μέσα κοινωνικής δικτύωσης να παρακολουθούν τα κρυπτογραφημένα μηνύματα που έχουν αποσταλεί μέσω της συγκεκριμένης υπηρεσίας, σύμφωνα με τον Guardian.


To Facebook ισχυρίζεται ότι κανείς δεν μπορεί να υποκλέψει τα μηνύματα του WhatsApp, ούτε καν το προσωπικό της εταιρείας και ότι με αυτόν τον τρόπο διασφαλίζεται η ιδιωτική ζωή των χρηστών της εφαρμογής.

Όμως μία νέα έρευνα δείχνει ότι η εταιρεία θα μπορούσε στην πραγματικότητα να διαβάσει τα μηνύματα που αποστέλλονται μέσω του WhatsApp και ότι αυτό οφείλεται στον τρόπο με τον οποίο η εφαρμογή έχει θέσει σε λειτουργία το σύστημα κρυπτογράφησης end-to-end.

Άτομα που συμμετέχουν σε εκστρατείες για την προστασία της ιδιωτικής ζωής δηλώνουν ότι η εν λόγω «αδυναμία» αποτελεί τεράστια απειλή για την ελευθερία του λόγου και προειδοποιούν ότι αυτό θα μπορούσε να χρησιμοποιηθεί προς όφελος των κρατικών φορέων ώστε οι τελευταίοι να είναι σε θέση να κατασκοπεύουν τους χρήστες που πιστεύουν ότι τα μηνύματα που ανταλλάσσουν είναι ασφαλή.

Η WhatsApp διαμηνύει ότι η εγγύηση της προστασίας της ιδιωτικής ζωής και της ασφάλειας αποτελεί το βασικό κλειδί πίσω από τις πωλήσεις της. Η εφαρμογή WhatsApp χρησιμοποιεί κρυπτογράφηση end-to-end που υποτίθεται ότι παράγει μοναδικά κλειδιά ασφαλείας χρησιμοποιώντας το Signal protocol, που δημιουργήθηκε από το Open Whisper Systems.

Ωστόσο, η εφαρμογή παρέχει ακόμη και στους offline χρήστες κλειδιά κρυπτογράφησης. Ο αποστολέας από την άλλη μπορεί να στείλει εκ νέου κρυπτογραφημένα μηνύματα με νέα κλειδιά. Έτσι μπορεί να στείλει μηνύματα που δεν έχουν παραδοθεί και πάλι.

Ο παραλήπτης δεν έχει ενημερωθεί για την αλλαγή στην κρυπτογράφηση, ενώ ο αποστολέας ενημερώνεται μόνο εφόσον έχει επιλέξει να λαμβάνει προειδοποιήσεις για την κρυπτογράφηση και μόνο εφόσον τα μηνύματα έχουν σταλεί εκ νέου. Συγκεκριμένα αυτή η μέθοδος της «εκ νέου κρυπτογράφησης» δίνει πρόσβαση στο WhatsApp να διαβάζει τα μηνύματα του κάθε χρήστη.

Το κενό ασφαλείας ανακαλύφθηκε από τον Tobias Boelter, έναν κρυπτογράφο και ερευνητή ασφαλείας στο Πανεπιστήμιο της Καλιφόρνιας. Ο κ. Boelter ανέφερε στον Guardian: «Αν ζητηθεί από την WhatsApp από κάποια κυβερνητική υπηρεσία να αποκαλύψει τα μηνύματά της, μπορεί να παραχωρήσει πρόσβαση με την αλλαγή κλειδιών».

H συγκεκριμένη ευπάθεια δεν φαίνεται να είναι εγγενής με το Signal protocol, αφού η εφαρμογή ανταλλαγής μηνυμάτων Signal της Open Whisper Systems δεν έχει κάποιο πρόβλημα ασφαλείας. Το Signal, η εφαρμογή ανταλλαγής μηνυμάτων της Open Whisper Systems, που χρησιμοποιείται από τον πληροφοριοδότη Edward Snowden δεν φαίνεται να «πάσχει» από την ίδια ευπάθεια. Για παράδειγμα, αν ο παραλήπτης αλλάζει το κλειδί ασφαλείας ενώ βρίσκεται εκτός σύνδεσης, ένα απεσταλμένο μήνυμα θα αποτύχει να παραδοθεί κι ο αποστολέας θα ενημερωθεί για την αλλαγή στα κλειδιά ασφαλείας, χωρίς να ξανασταλεί αυτόματα το μήνυμα.

Ο Boelter φέρεται να ενημέρωσε το Facebook για το θέμα από τον Απρίλιο του 2016. Η εταιρεία είχε πει τότε στον κρυπτογράφο ότι το ζήτημα ήταν ήδη γνωστό και το χαρακτήρισε ως μία «αναμενόμενη συμπεριφορά».

Από την πλευρά της η καθηγήτρια Kirstie Ball, από τα ιδρυτικά στελέχη του Κέντρου Ερευνών για πληροφορίες, επιτήρησης και προστασίας προσωπικών δεδομένων (Centre for Research into Information, Surveillance and Privacy), δήλωσε ότι η συγκεκριμένη ευπάθεια αποτελεί μια «τεράστια απειλή» για την ελευθερία του λόγου και «χρυσωρυχείο για τις υπηρεσίες ασφαλείας», ενώ κάποιοι χρήστες του Twitter προειδοποιούν τον κόσμο να σταματήσει την χρήση του WhatsApp.

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου