Cuprins:
S-a discutat recent despre o nouă modalitate de a exploata WhatsApp și de a ocoli criptarea end-to-end, companiei îi place să menționeze că are ori de câte ori poate. Am văzut tweet-uri și comentarii care rulează gama de la „e FUD” la a vorbi despre unele backdoor pe care le-a instalat Facebook.
Vestea bună este că niciuna. De fapt, nu este într-adevăr unul dintre acele lucruri de care trebuie să vă preocupați și, în schimb, este unul dintre acele lucruri care vă fac să vă întrebați cum s-a întâmplat vreodată în primul rând, pentru că este destul de trist. Dar nu vă faceți griji - va fi remediat cu mult înainte să se întâmple ceva.
Ce este
Cercetătorii Paul Rösler, Christian Mainka și Jörg Schwenk la Ruhr-Universität din Bochum, Germania au lansat o lucrare de cercetare (link.pdf) care a găsit un defect particular în administrarea chat-ului de grup WhatsApp. WhatsApp oferă aceeași criptare end-to-end pentru chat-urile de grup pe care le face pentru chat-urile individuale și asta înseamnă, de obicei, că ar trebui să fim capabili să ne simțim în siguranță în a ști că lucrurile pe care le spunem nu vor fi citite de nimeni care nu ar trebui să fie citind-o dacă nu se lasă să se întâmple unul dintre membrii grupului.
Aparent, teoretic este posibil ca un străin să se adauge la chatul de grup pe WhatsApp. Cuvintele cheie „Teoretic” și „posibil” sunt aici. Voi explica.
WhatsApp oferă mesagerie de grup care folosește o criptare puternică de la capăt la capăt.
Într-un chat de grup WhatsApp, unul sau mai mulți dintre membrii inițiali este administrator. Din punctul de vedere al serverului, asta înseamnă că acești oameni sunt capabili să adauge și să elimine oameni din grup. Totul este bine până acum, chiar dacă funcționează - un administrator trimite un semnal fiecărui membru al grupului cu cheile de semnare și, în schimb, fiecare membru trimite un mesaj de întoarcere cu cheile de semnare, apoi inițiatorul mesajului notifică fiecărui membru că acum există o persoană nouă în grup - este un pic de cludge pentru a crea o interfață de utilizator bună. Dacă nu ești administrator, singurul lucru pe care îl știi este că vezi un mesaj potrivit căruia Jerry este acum membru al grupului. Puteți să acceptați asta sau să părăsiți chatul.
Un defect similar a fost găsit cu mesageria de grup prin Signal.
Problema este că WhatsApp nu autentifică corect aceste solicitări de administrare a grupurilor pe serverele proprii. Un server WhatsApp trebuie să identifice corect expeditorul unui mesaj care ar adăuga o persoană la un chat de grup. Persoana trimite un mesaj care identifică atât grupul, cât și membrul pe care dorește să îl adauge și serverul verifică pentru a se asigura că persoana care l-a trimis este de fapt un administrator de chat. Aceste mesaje nu sunt criptate end-to-end și folosesc în schimb criptarea de transport standard - mesajul provenit de la un administrator de chat și care merge la un server care solicită un utilizator să fie adăugat la un chat nu este semnat de expeditor cu cheia de criptare a acestora..
Aceasta înseamnă că un server WhatsApp poate adăuga orice utilizator pe care îl dorește în orice grup, în orice moment. Serverul poate, nu un alt utilizator. Acest lucru este important și înseamnă că orice confidențialitate așteptată într-un chat de grup WhatsApp depinde doar de încrederea serverului de chat WhatsApp. Acest lucru înfrânge întregul scop de criptare end-to-end, care este conceput astfel încât confidențialitatea să fie garantată chiar dacă un server este compromis, deoarece numai expeditorul și destinatarul pot decripta un mesaj.
Și atunci internetul își pierde mințile colective, pentru că internetul este într-adevăr bun.
Acest lucru nu se va întâmpla, dar totuși are nevoie de remediere
Singurul mod în care acest defect poate fi exploatat este de către cineva care are acces la server. Asta înseamnă că un server este compromis, sau un angajat devine necinstit, sau o agenție guvernamentală cu trei scrisori depune un mandat. Orice dintre aceste lucruri s-ar putea întâmpla, s-ar fi putut întâmpla în trecut și chiar s-ar putea întâmpla chiar acum. Dar un alt lucru trebuie luat în considerare - veți ști dacă se întâmplă cu chatul dvs.
Sunteți anunțat ori de câte ori o persoană este adăugată la un chat de grup, criptată sau nu.
Primul lucru pe care îl face un server după adăugarea unui membru este să notifice tuturor celorlalți membri ai grupului că „Jerry a fost adăugat la chat”. Veți vedea mesajul care vă spune că cineva a fost adăugat, la fel și toți ceilalți. Când Jerry ajunge la petrecerea de chat privat cu glumele sale proaste și berea ieftină și nimeni nu l-a invitat, asta va fi un semn că ceva nu este în regulă și nimeni nu ar trebui să considere nimic pe care urmează să-l tipeze drept privat. Împachetați-vă și treceți la un alt chat fără Jerry și poate chiar un alt serviciu care nu-l va lăsa să se prăbușească.
Deci nimeni nu va putea să-ți verifice în secret chatul de grup criptat, dar acest lucru încă subminează criptarea end-to-end în toate modurile posibile. Trebuie să fie remediat imediat și poate chiar și întreaga metodă de gestionare a grupului trebuie revizuită. La minimum, trebuie să ne zgâriem capul și să ne întrebăm cum se strecoară ceva de genul acesta de către programatori și auditori de cod. Este o premisă ridicolă care nu va fi exploatată niciodată, dar totuși.
Ce trebuie să faci
Nimic adevărat. Apreciați munca depusă de Rösler, Mainka și Schwenk pentru a constata acest defect, deoarece cercetarea în domeniul securității este un loc de muncă mulțumitor și deseori amorțitor, dar trecut că nu trebuie să vă schimbați rutina deloc. O metodă de autentificare a cererii de adăugare a unui membru într-un chat de grup criptat va fi sortată de persoanele care păstrează roțile WhatsApp învârtindu-se în scurt timp și aceasta se va schimba dintr-un defect care nu va fi exploatat niciodată într-un defect care nu mai poate fi exploatat la toate.
Ceea ce este important este că ai fost atent, pentru că următorul defect ar putea fi foarte bine unul care are nevoie de acțiuni din partea ta. Și va exista un alt defect, deci asigurați-vă că veți continua să acordați atenție.
