Logo iw.androidermagazine.com
Logo iw.androidermagazine.com
» חדשות
חדשות

ליקוי אבטחה בצ'אט בקבוצת Whatsapp: מה שאתה צריך לדעת

ליקוי אבטחה בצ'אט בקבוצת Whatsapp: מה שאתה צריך לדעת

תוכן עניינים:

Anonim

לאחרונה דיברו המון דיבורים על דרך חדשה לנצל את WhatsApp ולעקוף את ההצפנה מקצה לקצה שהחברה אוהבת לציין שיש לה מתי שהיא יכולה. ראיתי ציוצים ותגובות שמפעילים את הסולם מ"זה FUD "לדיבורים על איזה דלת אחורית שפייסבוק התקינה.

החדשות הטובות הן שזה לא זה וגם זה. למעשה, זה לא באמת אחד הדברים האלה שאתה צריך לדאוג להם ובמקום זאת הוא אחד הדברים האלה שגורמים לך לתהות איך זה קרה אי פעם מלכתחילה כי זה די מרושל. אך אל דאגה - זה יתוקן הרבה לפני שיקרה משהו.

מה זה

החוקרים פול רוזלר, כריסטיאן מיינקה ויורג שונק ב- Ruhr-Universität בבוכום, גרמניה פרסמו מאמר מחקר (קישור PDF) שמצא פגם מיוחד במינהל הצ'אט הקבוצתי של WhatsApp. WhatsApp מציעה את אותה הצפנה מקצה לקצה עבור צ'אטים קבוצתיים שהיא עושה עבור צ'אטים פרטניים, וזה בדרך כלל אומר שאנחנו צריכים להיות מסוגלים להרגיש בטוחים בידיעה שהדברים שאנחנו אומרים לא יקראו על ידי מישהו שלא צריך להיות לקרוא אותו אלא אם כן אחד מחברי הקבוצה מאפשר לזה לקרות.

כנראה, תיאורטית אפשרית עבור אדם זר להוסיף את עצמם לשיחה קבוצתית ב- WhatsApp. "תיאורטית" ו"אפשר "להיות מילות המפתח כאן. אני אסביר.

WhatsApp מציעה הודעות קבוצתיות המשתמשות בהצפנה חזקה מקצה לקצה.

בצ'אט בקבוצת WhatsApp אחד או יותר מהחברים המקוריים הוא מנהל מערכת. מבחינת השרת, המשמעות היא שאנשים אלה מסוגלים להוסיף ולהסיר אנשים מהקבוצה. הכל טוב עד כה, למרות שדרך העבודה - מנהל שולח איתות לכל חבר בקבוצה עם מפתחות החתימה שלו או בתמורה, כל אחד מחבריו שולח הודעת חזרה עם מקשי החתימה שלהם ואז מקור ההודעה. מודיע לכל חבר שיש עכשיו אדם חדש בקבוצה - הוא קצת קלדג 'על מנת ליצור ממשק משתמש טוב. אם אינך מנהל מערכת, הדבר היחיד שאתה יודע הוא שאתה רואה הודעה שג'רי הוא עכשיו חבר בקבוצה. אתה יכול לקבל את זה או לצאת מהצ'אט.

ליקוי דומה נמצא בהודעות קבוצתיות דרך איתות.

הבעיה היא ש- WhatsApp אינה מאמתת כראוי את בקשות ניהול הקבוצות הללו בשרתים שלה. שרת WhatsApp צריך לזהות כראוי את שולח ההודעה שיוסיף אדם לצ'אט קבוצתי. האדם שולח הודעה המזהה גם את הקבוצה וגם את החבר שהיא רוצה להוסיף והשרת בודק כדי לוודא שהאדם ששלח אותה הוא למעשה מנהל צ'אט. הודעות אלה אינן מוצפנות מקצה לקצה, ובמקום זאת משתמשים בהצפנת תובלה רגילה - ההודעה המגיעה ממנהל צ'אט והולכת לשרת שמבקש להוסיף למשתמש לצ'ט אינה חתומה על ידי השולח באמצעות מפתח ההצפנה שלו..

המשמעות היא ששרת WhatsApp יכול להוסיף כל משתמש שהוא רוצה לכל קבוצה, בכל עת. השרת אינו יכול למשתמש אחר. זה חשוב וזה אומר שכל פרטיות הצפויה בצ'אט קבוצתי של WhatsApp תלויה אך ורק באמון בשרת הצ'אט של WhatsApp. זה מביס את כל מטרת ההצפנה מקצה לקצה, שתוכננה כך שמובטחת פרטיות גם אם השרת נפגע מכיוון שרק השולח והנמען יכולים לפענח הודעה.

ואז האינטרנט מאבד את דעתו הקולקטיבית כי זה מה שהאינטרנט באמת טוב לעשות.

זה לא יקרה אך עדיין צריך לתקן

הדרך היחידה שניתן לנצל את הפגם היא על ידי מישהו עם גישה לשרת שעושה זאת. המשמעות היא ששרת נפגע, או שעובד מתחלף או שסוכנות ממשלתית בת שלוש אותיות מגישה צו. כל אחד מהדברים האלה יכול היה לקרות, יכול היה לקרות בעבר ואפילו יכול היה לקרות ברגע זה. אבל צריך לקחת בחשבון דבר נוסף אחד - תדעו אם זה קורה לצ'אט שלכם.

אתה מקבל הודעה בכל פעם שאדם מתווסף לצ'אט קבוצתי, מוצפן או לא.

הדבר הראשון ששרת עושה לאחר הוספת חבר הוא להודיע ​​לכל חבר אחר בקבוצה ש"ג'רי נוסף לצ'אט. " אתה תראה את ההודעה שאומרת לך שמישהו נוסף, וכך גם כל אחד אחר. כשג'רי מגיע למסיבת הצ'ט הפרטית עם הבדיחות הרעות והבירה הזולה שלו, ואף אחד לא הזמין אותו, זה יהווה סימן שמשהו לא בסדר ואף אחד לא צריך להתייחס לדברים שהם עומדים להקליד כפרטיים. לארוז ולעבור לצ'ט אחר בלי ג'רי ואולי אפילו שירות אחר שלא יאפשר לו להתרסק.

כך שאיש לא יוכל לבדוק בסתר את הצ'אט הקבוצתי המוצפן שלך, אך זה עדיין מערער את ההצפנה מקצה לקצה בכל דרך אפשרית. צריך לתקן את זה מיד, ואולי אפילו צריך לשנות את כל שיטת הניהול הקבוצתית. במינימום הערך, כולנו צריכים לשרוט את הראש ולתהות איך משהו כזה מחליק על ידי מתכנתים ובודקי קוד. זוהי הנחה מגוחכת שלעולם לא תנצלה אותה, אך עדיין.

מה אתה צריך לעשות

שום דבר באמת. העריך את העבודה שנעשתה על ידי רוזלר, מיינקה ושוונק במציאת פגם זה מכיוון שחקירת אבטחה היא עבודה אסירת תודה ולעיתים קרובות מעוררת מחשבה, אך בעבר אתה לא באמת צריך לשנות את השגרה שלך בכלל. שיטה לאימות הבקשה להוסיף חבר לצ'אט קבוצתי מוצפן תימיין על ידי האנשים שמאפשרים להסתובב גלגלי WhatsApp תוך זמן קצר וזה ישתנה מפגם שלעולם לא ינצל לפגם שלא ניתן עוד לנצל בו את כל.

מה שחשוב הוא ששמת לב, כי יתכן מאוד שהפגם הבא יהיה כזה שצריך לפעול מצידך. ויהיה פגם נוסף, אז וודא שאתה ממשיך לשים לב.

חדשות

בחירת העורכים