Berta Sándor

WhatsApp - létezik egy kiskapu a titkosításban

Új információk alapján hozzá lehet férni a platform üzeneteihez. A cég cáfolta a dolgot.

Egy IT-kutató azt állítja, hogy a kommunikációs szoftver biztonsági hibát tartalmaz, aminek köszönhetően elfoghatók és ki is kódolhatók a felhasználók, a Facebook vagy akár a kormányzati helyek által küldött titkosított üzenetek.

A WhatsApp tavaly áprilisban titkosította az adatforgalmat, így csak az alkalmazást használó felek láthatják az elküldött üzeneteket. Ez a végpont-végpont titkosítás elvileg azt jelenti, hogy a felhasználók egymásnak küldött üzeneteit nem tudja lehallgatni vagy megnézni harmadik fél. A bejelentés után a WhatsApp az egyik legbiztonságosabb üzenetküldő programnak számított - egészen mostanáig. Tobias Boelter kaliforniai biztonságkutató ugyanis már akkor arról tájékoztatta a céget, hogy van egy hiba a titkosítást végző szoftverben, majd a tavaly decemberi hamburgi 33C3 hackerkonferencián bemutatta az eredményeit.


A WhatsApp-üzenetek titkosításáért az Open Whisper Systems cég egyik terméke a felelős. A program egy olyan titkosító rendszerrel dolgozik, amelynek a feladata a küldő és a címzett közötti biztonságos üzenetcsere megszervezése. Boelter szerint azonban az a probléma, hogy a WhatsApp bizonyos körülmények között ki tudja cserélni a kódokat anélkül, hogy ezt a felhasználók észrevennék. A kódcsere után az üzenetek elfoghatók és visszafejthetők.

A vállalat cáfolja a dolgot és kiemelte, hogy nem biztosít a kormányok számára kiskapukat a rendszereiben és minden ilyen jellegű megkeresést el is utasítana. Egy szükséges elemről van szó, amely lehetővé teszi, hogy a felhasználók akár a készülékük vagy a telefonszámuk lecserélése után is kommunikálhassanak. Emellett felhívja a figyelmet a lehetséges biztonsági kockázatokra. Az újrakódolás egyébként a leggyakrabban telefoncsere vagy az alkalmazás újratelepítése miatt történik.

A szolgáltató rámutatott arra is, hogy nyilvánosságra hozta a titkosítási mechanizmust és amennyiben lennének kormányzati kérések, akkor azokról is külön nyilatkozna egy jelentésben. Fontos továbbá, hogy az Open Whisper Systems szoftverét nem érinti a biztonsági hiba.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • kvp #2
    A kulcscseret kozbenso szerverre vagy egyeb online kapcsolatra bizni egyet jelent a man in the middle tamadas lehetosegevel. Manualis kulcscseret pedig senki nem fog alkalmazni, mert nem praktikus. A kulcsok ujjlenyomatat pedig ugyancsak senki nem fogja ellenorizni. Innentol nem igazan van jo megoldas, mert vagy a szervernek kell megbizhatonak lennie, vagy offline ellenorizni kell a kulcsokat. (pgp es ssh protokollok eseten erre meg is kernek a nepszerubb nyilt forraskodu implementaciok)
  • Skylake #1
    Nagyon remek hiba az implementációban. Kérdés, hogy szándékos vagy sem. Én azt gondolom, „jó helyen van az ott”. Ez itt a cikkben a lényeg: „az Open Whisper Systems szoftverét nem érinti a biztonsági hiba.”

    Mivel a Facebook Messenger és WhatsApp páros a piac legnagyobb szeletét uralja, mivel a Facebook esetében az üzleti forgalom az userek aktivitásának profilírozásából és erre épülő marketingből áll, mivel korábban volt szó arról, hogy a WhatsApp felhasználói bázisát azonosíthatóvá kívánják tenni az új tulaj Facebook Inc. számára, és mivel a Facebook pusztán kommunikációs és információs jelentősége miatt szükségszerű partnere a nemzetbiztonsági szerveknek az USA-ban, illetve más országokban, ezért úgy gondolom, hogy a rossz minőségben implementált titkosítási megoldás megléte számukra elsőrendűen fontos.

    Persze, lesz néhány hacker-matyi, mint ő, aki majd vizsgálgatja, és nem megfelelőnek találja. Na és? Mivel a felhasználókat legkevésbé sem ilyen témák érdeklik, hanem hogy melyik celeb éppen mit csinált, vagy a baráti körben ki kivel kefél, és hasonlók, ezért semmi rizikó nincs abban, ha a titkosítás implementációja nem túl jó minőségű. Na és, majd morog néhány kocka, aztán megunják és elfelejtik. A hátsóajtó(k) meg ott maradnak, kiszolgálva a folyamatos és ad-hoc igényeket. Nyilván, egy ilyen kommunikációs mamut esetében én is osztanám a PR-dumát, hogy nem működök együtt a hatóságokkal, amikor a fejlett világ kommunikációjának döntő hányada rajtam keresztül történik. Hagyjuk már.