Zranitelnost WhatsAppu umožňuje překonat šifrování soukromých zpráv

Když loni do chatovací aplikace WhatsApp, patřící Facebooku, přibylo end-to-end šifrování (šifrování na straně koncových uživatelů), byla to velká událost.

Zranitelnost WhatsAppu umožňuje překonat šifrování soukromých zpráv


V té době všichni řešili boj Applu s FBI ohledně odblokování iPhonu střelce ze San Bernardina, a opatření WhatsAppu bylo vnímáno jako velký krok směrem k ochraně soukromí uživatelů. Aplikace totiž začala šifrovat všechny zprávy a hovory zasílané mezi jednotlivými uživateli.

Nová zpráva ale naznačuje, že by to s tím soukromím nemuselo být až tak horké. Podle deníku The Guardian by totiž vážná zranitelnost v šifrování WhatsAppu mohla Facebooku (a potažmo i vládním úřadům a dalším institucím) umožnit zachycovat a číst zprávy bez vědomí příjemce. A s vědomím pouze odesílatele, pokud si tedy ten předem zvolil automatické přijímání varovných zpráv týkajících se šifrování. Bezpečnostní chyba, která byla objevena expertem Tobiasem Boelterem z Kalifornské univerzity v Berkeley, může „fakticky zajistit přístup (ke zprávám uživatelů)“ změnou bezpečnostních klíčů a opětovným odesíláním zpráv.

„End-to-end šifrování WhatsAppu spoléhá na generování unikátních bezpečnostních klíčů s využitím uznávaného protokolu Signal… k zajištění zabezpečení komunikace a znemožnění jejich zachycování prostředníky,“ píše se v Boelterově zprávě. „Nicméně WhatsApp má schopnost vnutit generování nových šifrovacích klíčů offline uživatelům… a donutit odesílatele k opětovnému šifrování zpráv novými klíči a opětovnému zaslání všech zpráv, jež nebyly označeny jako doručené.“

Ačkoliv neexistuje žádný důkaz, který by naznačoval, že WhatsApp chybu využíval k utajovanému zachycování zpráv, Boelter tvrdí, že zranitelnost nahlásil Facebooku už v dubnu 2016, ovšem tehdy mu bylo řečeno, že jde o „očekávané chování.“

Podle WhatsAppu je end-to-end šifrování při používání služby vždy aktivováno a neexistuje způsob, jak jej vypnout. Navíc má každá konverzace svůj vlastní volitelný verifikační proces, který může být využit k ověření toho, že jsou hovory a zprávy šifrovány. Podle vyjádření představitelů WhatsAppu nemají jejich systémy zadní vrátka, která by mohly využívat vlády, a budou bojovat proti jakémukoliv požadavku vlád na tvorbu zadních vrátek. Zmíněná chyba pak prý není chybou, ale záměrným rozhodnutím, které zabraňuje ztrátě milionů zpráv.

Zdroj: CIO.com


Úvodní foto: WhatsApp.com




Komentáře