WhatsApp-vika sallii tunkeutumisen yksityisiin ryhmäkeskusteluihin ilman järjestelmänvalvojan oikeuksia

Virhe WhatsAppissa tarkoittaa, että on mahdollista päästä hiipimään yksityisiin keskusteluihin ilman järjestelmänvalvojan oikeuksia, huolimatta Facebookin omistaman yrityksen parhailta ponnisteluista salauksessa.

Saksalaisen salausryhmän tutkimuksessa havaittiin, että puute sovelluksen vuorovaikutuksessa WhatsAppin Facebookin hallinnassa, jokainen, jolla on pääsy kyseisiin palvelimiin, voi lisätä uusia ihmisiä helposti yksityiseen ryhmään chat.

Joten huolimatta WhatsAppin toteuttamasta end-to-end-salausta viestinnässä, on mahdollista, että ryhmäkeskustelu tunkeutuu ja siepataan.

”Ryhmän luottamuksellisuus rikkoutuu heti, kun kutsumaton jäsen saa kaikki uudet viestejä ja lukenut ne ”, selitti Paul Rösler, yksi Ruhrin yliopiston tutkijoista a paperi joka tarkasti haavoittuvuutta.

"Jos kuulen, että molemmille ryhmille ja kahden osapuolen viestinnälle on olemassa end-to-end-salausta, se tarkoittaa, että uusien jäsenten lisääminen on suojattava. Ja jos ei, salauksen arvo on hyvin pieni ”, hän lisäsi.

Facebookin turvallisuusjohtaja Alex Stamos kuitenkin pienensi Twitterin turvallisuusriskejä ja totesi, että "ei ole salaa" WhatsApp ryhmäkeskustelut.

Hän selitti, että WhatsApp antaa ilmoituksen joka kerta, kun uusi käyttäjä tulee ryhmäkeskusteluun, vaikka ei-toivottu vieras ilmestyy yksityiseen keskusteluun, lailliset jäsenet tietävät siitä ja järjestelmänvalvojat voivat potkaista heitä ulos. Ja koska uusi jäsen voi tarkastella vain uusia viestejä, yksityisyyden riskiä lievennetään jonkin verran.

Yhteenvetona voidaan todeta, että selkeät ilmoitukset ja useita tapoja tarkistaa ryhmässäsi olevat henkilöt estävät hiljaisen salakuuntelun. WhatsApp-ryhmissä lähetettyjen viestien sisältö on edelleen suojattu end-to-end-salauksella.

- Alex Stamos (@alexstamos) 10. tammikuuta 2018

Kehittyneillä hakkereilla on kuitenkin mahdollisuus käyttää tekniikoita uusien ryhmäviestien valikoivaan estämiseen, kuten kerran uudet jäsen on lisätty, salausavaimet jaetaan puhelimien välillä WhatsAppia käyttäen, mikä auttaisi lomittajia välttämään välitöntä havaitseminen.

Hakkerit voivat hyödyntää vikaa, joka heidän on ensin purettava WhatsApp-palvelimiin, mikä vaatii korkean tason hakkerointitaitoja yrittääkseen. Tämä vähentää edelleen virheen aiheuttamaa riskiä.

Mutta hallituksille ja hakkeriryhmille, joilla on resursseja tällaisten hakkerointien toteuttamiseen, vika voi olla houkutteleva kohde etenkin vakoilun ja valtion tukeman harhailun toteuttamiseksi.

Kaiken kaikkiaan vika ei näytä aiheuttavan liikaa riskiä tavalliselle WhatsApp-käyttäjälle.

Tämä ei tietenkään ole tekosyy turva-aukon olemassaololle. WhatsApp on todennut, että jos se korjaisi vian välittömästi, se voi aiheuttaa ongelmia laillisten uusien jäsenten sallimisessa liittyä ryhmään jaetun URL-osoitteen avulla. Joten tämä viittaa siihen, että se tapahtuu joskus ennen virheen puristamista.

Liittyvät: CES 2018: n kohokohdat

Luotatko WhatsAppin pitämään viestisi yksityisenä vai oletko Signal-käyttäjä? Kerro meille Facebookissa tai Twitterissä.