WhatsApp kļūda ļauj iefiltrēties privātu grupu tērzēšanā bez administratora atļaujām

Kļūda WhatsApp nozīmē, ka, neskatoties uz Facebook piederošā uzņēmuma centieniem šifrēt, ir iespējams ielīst privātās tērzēšanas sarunās bez administratora atļaujām.

Pētījumā, ko veica Vācijas kriptogrāfijas komanda, tika konstatēts, ka trūkums, kā lietotne mijiedarbojas ar WhatsApp septiņiem, ko kontrolē Facebook, ļauj ikvienam, kam ir piekļuve šiem serveriem, viegli ievietot jaunus cilvēkus privātā grupā tērzēt.

Tāpēc, neskatoties uz to, ka WhatsApp savā ziņojumapmaiņā ieviesa pilnīgu šifrēšanu, grupas tērzēšana var tikt iefiltrēta un snooped.

“Grupas konfidencialitāte tiek lauzta, tiklīdz nelūgtais dalībnieks var iegūt visu jauno ziņojumus un lasiet tos, ”skaidroja Pols Roslers, viens no Rūras universitātes pētniekiem, kurš ir līdzautors a papīrs kurā sīki aprakstīta ievainojamība.

“Ja es dzirdu, ka abām grupām un divu pušu saziņai ir pilnīga šifrēšana, tas nozīmē, ka jaunu dalībnieku pievienošana ir jāaizsargā. Un, ja nē, šifrēšanas vērtība ir ļoti maza, ”viņš piebilda.

Tomēr Facebook galvenais drošības direktors Alekss Stamoss mazināja drošības riskus čivināt, norādot, ka “nav slepena veida”

WhatsApp grupas tērzēšana.

Viņš paskaidroja, ka WhatsApp sniedz paziņojumu katru reizi, kad jauns lietotājs ienāk grupas tērzēšanā, pat ja nevēlams viesis parādās privātā tērzēšanā, likumīgie dalībnieki par to zinās, un administratori var viņus spert ārā. Tā kā jauns dalībnieks var apskatīt tikai jaunus ziņojumus, privātuma risks tiek nedaudz mazināts.

Kopumā skaidri paziņojumi un vairāki veidi, kā pārbaudīt, kurš ir jūsu grupā, novērš klusu noklausīšanos. WhatsApp grupās nosūtīto ziņojumu saturs joprojām tiek aizsargāts ar pilnīgu šifrēšanu.

- Alekss Stamoss (@alexstamos) 2018. gada 10. janvāris

Tomēr sarežģīti hakeri var izmantot paņēmienus, lai selektīvi bloķētu jaunus grupas ziņojumus, piemēram, kādreiz jaunos loceklis tiek pievienots, šifrēšanas atslēgas tiek koplietotas starp tālruņiem, izmantojot WhatsApp, kas palīdzētu interloperiem izvairīties no tūlītējas noteikšana.

Lai hakeri varētu izmantot kļūdu, viņiem vispirms vajadzētu ielauzties WhatsApp serveros, un tas pat prasīs augsta līmeņa hakeru prasmes. Tas vēl vairāk mazina risku, ko rada kļūda.

Bet valdībām un hakeru grupām, kurām ir resursi šādu uzlaušanas uzbrukumu veikšanai, kļūda varētu būt vilinošs mērķis, it īpaši spiegošanas un valsts atbalstītas snoopēšanas veikšanai.

Kopumā šķiet, ka kļūda vidējam WhatsApp lietotājam nerada pārāk lielu risku.

Protams, tas neattaisno drošības cauruma klātbūtni. WhatsApp ir atzīmējis, ka, ja tas nekavējoties novērsīs kļūdu, tas varētu radīt problēmas ar jaunu likumīgu dalībnieku atļaušanu pievienoties grupai, izmantojot koplietojamu URL. Tāpēc tas liecina, ka tas notiks kādreiz, pirms kļūda tiek saspiesta.

Saistīts: CES 2018. gada svarīgākie notikumi

Vai jūs uzticaties WhatsApp, lai jūsu ziņojumapmaiņa būtu privāta, vai arī jūs esat Signal lietotājs? Informējiet mūs par Facebook vai Twitter.