WhatsApp-kryptering Det er nå den sikreste Instant Messenger (eller er det?)
WhatsApp er lett den mest brukte direktemeldingsservice for telefoner og tabletter. Grunnlagt i 2009, har tjenesten nå eksplodert til over 700 millioner aktive brukere - nesten 250 millioner mer enn det andre alternativet, Kinas WeChat. Siden selskapet ble kjøpt av Facebook for en øye-vannende $ 19 milliarder for tolv måneder siden, har firmaet blitt tvunget til å rydde opp sin tilnærming til sikkerhet og privatliv, noe som resulterte i nyheten i fjor at den har introdusert nye krypteringsforanstaltninger. TrueCrypt Is Dead: 4 Diskkrypteringsalternativer for Windows TrueCrypt er død: 4 Diskkrypteringsalternativer for Windows TrueCrypt er ikke mer, men heldigvis finnes det andre nyttige krypteringsprogrammer. Selv om de kanskje ikke er nøyaktige erstatninger, bør de dekke dine behov. Les mer .
Hva var problemet?
WhatsApp hadde hatt utallige forlegenheter og eksponeringer over deres dårlige sikkerhet. Problemene startet så lenge siden mai 2011, da det ble oppdaget en sikkerhetsfeil som tillot brukernes kontoer å ha sin økt kapret (får uautorisert tilgang til informasjon ved å utnytte en gyldig brukssesjon), og få trafikken avlyttet og logget av en pakke sniffer. En ny versjon av appen ble utgitt, men dataene ble fortsatt sendt og mottatt i ren tekst.
Deres vanskeligheter fortsatte i 2012. I begynnelsen av året publiserte en hacker WhatsAppStatus.net, som tillot folk å endre statusen til enhver bruker av WhatsApp, og utviklerne av appen var sakte å svare - i utgangspunktet hevdet feilen var løst da de i virkeligheten bare hadde blokkert nettstedets IP-adresse. Det var overraskende at lignende verktøy snart dukket opp, og firmaet ble tvunget til å reagere på en mer robust måte. I slutten av våren stoppet WhatsApp endelig med å bruke ren tekst for data, men utskiftningen - en kryptografisk metode - ble kritisert for å bli brutt ved lanseringen.
I slutten av 2013 hevdet en sikkerhetsforsker i Nederland at alle som hadde nok teknisk kunnskap kunne dekryptere kommunikasjoner sendt i appen takket være flere “lange dokumenterte svakheter” - hovedsakelig det faktum WhatsApp brukte samme krypteringsnøkkel på begge sider av en samtale. Thijs Alkemade, student ved Universitetet i Utrecht som oppdaget feilen, sa “Du bør anta at alle som er i stand til å avlyse på din WhatsApp-tilkobling, er i stand til å dekryptere meldingene dine, gitt nok innsats“. legge, “Det er ikke noe en WhatsApp-bruker kan gjøre om dette ... unntatt for å slutte å bruke den til utviklerne kan oppdatere den“.
Så nylig som i november 2014, gjorde WhatsApp bare to av syv på Electronic Frontier Foundations sikre meldingsscorecard - å miste poeng takk det faktum at det brukte en kryptering som leverandøren hadde nøkkelen til, det var ingen måte å verifisere brukerens identitet, og sikkerhetsdesignen var ikke godt dokumentert.
Hva var svaret?
Den 18. november i fjor var WhatsApps nye eiere Facebook bestemt nok nok. Selv om Facebook ikke er nøyaktig anerkjent når det gjelder egen åpenhet om personvern og sikkerhet, ville de ikke sette i fare for deres dyre nye oppkjøp og risikere å miste brukerne til en rivaliserende tjeneste som Viber eller Tango Tango - En Budding Skype Alternative For Android, IOS og Windows Tango - et spirende Skype-alternativ til Android, iOS og Windows Verden av Voice over IP utvider raskt, og vi får flere og flere alternativer for å ringe våre venner uten å betale mobiltelefonleverandører. Den sterkeste og mest kjente konkurrenten i dette området er åpenbart ... Les mer .
Som et resultat, annonserte de et nytt partnerskap med Open Whisper Systems i en avtale som endelig ville bringe end-to-end kryptering til tjenesten, forhåpentligvis banishing gremlins av de foregående tre årene. Open Whisper sa at den nye kryptering ville være den største av sitt slag hvor som helst i verden, og ville bruke TextSecure - en tjeneste som bruker en kryptografisk nøkkel som er unik for individuelle enheter - for å beskytte sin gigantiske brukerbase. Eksperter ble raskt imponert, da Wired hevdet at løsningen var “praktisk talt uslåelig“, og Wall Street Journal uttalte det “krypteringen er så robust at selv lovhåndhevelsen ikke vil kunne dekryptere WhatsApp-meldinger“.
Hvordan virker det?
I stedet for å lagre nøklene for å kryptere krypteringen på en sentralisert server som eies og drives av WhatsApp-utviklerne, virker end-to-end-kryptering ved å bare lagre tastene på en brukers enhet. Når kombinert med TextSecure, som bruker en protokoll som heter “fremover hemmelighold” å utstede en ny nøkkel for hver ny melding, er det lett å se hvorfor WhatsApps administrerende direktør Jan Koum hevdet at de hadde “Nå bygget WhatsApp rundt målet om å kjenne så lite om deg som mulig ... Respekt for ditt privatliv er kodet inn i vårt DNA“.
Kryptering som nå brukes av tjenesten, varierer enormt fra det som brukes av lignende direktemeldingsapper. Glem WhatsApp: 6 Sikker kommunikasjonsapplikasjoner Du har sikkert aldri hørt om å glemme WhatsApp: 6 Sikker kommunikasjonsapplikasjoner du har sikkert aldri hørt av Electronic Frontier Foundation ( EFF) er en lobbygruppe dedikert til å "forsvare borgerlige friheter i den digitale verden". De opprettholder Secure Messaging Scorecard, noe som gir bekymring for lesing for fans av direktemeldinger. Les mer og sosiale nettverk, som for det meste fortsatt lagrer nøklene på sine egne servere, samt en persons enhet. Dette betyr at bedrifter og regjeringer kan få tilgang til innholdet i dine meldinger og data på forespørsel, og gjør det lettere for hackere å få tilgang til privat og personlig informasjon.
Faktisk er flyttingen av WhatsApp en del av en større bevegelse mot økt privatliv av ledende teknologibedrifter, men ikke alle er glade. Når Apple og Google begge utvidet deres krypteringstjenester, Google End-To-End-kryptering, slank manforsøkt mord [Tech News Digest] Google End-to-End-kryptering, slank manforsøkt mord [Tech News Digest] Google går til slutt , Kickstarter myker kampanjebestemmelser, Sony dreper PSP, Chrome går 64-bit, Slankmannsforsøk, Todoist For Business, og tenåringer som reagerer på 90-tallet Internett. Les mer i løpet av WhatsApp-kunngjøringen, kritiserte FBI-direktøren James Comey bevegelsen, hevdet det “Post-Snowden-pendelen har [nå] svingt for langt“.
Er alle problemene faste?
Å gi effektiv sikkerhet er ikke lett. Mens WhatsApp var tydelig langt bak spillet ved årtusens endring, ser den sentrale 2014-oppdateringen ut helt hackersikker. Dessverre er det sjelden tilfellet, og i de siste dagene har det oppstått mer negativ press for Mountain View-baserte firmaet.
Selv om innholdet i en brukers melding tilsynelatende forblir trygt, har det blitt lansert et enkelt program som kan brukes av hackere til å omgå forskjellige personverninnstillinger, og dermed gi dem en måte å se om en bruker er online eller offline, en måte å overvåke et persons profilbilde, en måte å se brukerens status på, og muligheten til å se personens personlige personverninnstillinger.
Programvaren, som heter WhatsSpy Public, er opprettet av en nederlandsk utvikler og kan avsløre tidslinjen for en sporet brukeres online status, selv om brukeren har de strengeste personvernkontrollene Alt du trenger å vite om dine WhatsApp-personverninnstillinger Alt du trenger å Vet om dine WhatsApp-personverninnstillinger Som med alle kommunikasjonsverktøy, er personvernet av største betydning. Slik beskytter du ditt privatliv når du bruker WhatsApp. Les mer aktivert. “Du kan tenke deg nå, du har satt alle alternativer til "ingen" du er trygg, personvernmessig, men likevel kan jeg likevel spore dine trekk på WhatsApp” sa programvarens designer Maikel Zweerink. Den gode nyheten for brukerne er at programvaren er vanskelig å sette opp, og vil bare kunne spore brukere på rotte Androids eller fange-ødelagte iPhones - så hvis du bruker en “vanilje” OS du burde være ok.
WhatsApp har ennå ikke svart på påstandene offisielt, selv om en insider flytter for å spille ned bruddet da han fortalte britiske medier at “Dette er ikke et hack ... i hovedsak bygget han et program som bare registrerer og overvåker informasjon han har tilgang til uansett“.
Til tross for det, er det usannsynlig at brukerne får mye trøst i uttalelsen, gitt WhatApps dårlige track record. Uansett hva sannheten kan være, peker problemet bare på det overordnede faktum at sikkerhet i en digital tidsalder aldri kan tas for gitt. selv når du tror du er beskyttet, kan du være sikker på at det er en hacker eller kriminell som leter etter den neste feilen eller feilen som kompromitterer deg.
Hva tror du?
Bruker du Whatsapp? Har den dårlige historien noen gang gitt deg av tjenesten? Har du prøvd noen meldingsalternativer, men alltid finne deg selv trukket tilbake til allestedsnærværende app? Er personvern generelt bekymret for deg, eller abonnerer du på tankesettet av “ingenting å skjule, ingenting å frykte”?
Vi vil gjerne høre fra deg. Gi oss beskjed om dine tanker i kommentarene nedenfor.
Utforsk mer om: Chat-klient, Online personvern, Online-sikkerhet, WhatsApp.