Wszyscy doskonale wiemy, że minęły dwa lata, odkąd WhatsApp dodał kompleksowe szyfrowanie we wszystkich swoich rozmowach. Chociaż zwiększa to bezpieczeństwo i prywatność naszych czatów, wykryto błąd bezpieczeństwa, który umożliwia dostęp do prywatnych grup poprzez pominięcie szyfrowania.
Minęły dwa lata, odkąd WhatsApp dodał kompleksowe szyfrowanie we wszystkich swoich rozmowach. Chociaż zwiększa to bezpieczeństwo i prywatność naszych czatów, wykryto błąd bezpieczeństwa, który umożliwia dostęp do prywatnych grup poprzez pominięcie szyfrowania.
Główny czynnik, który prowadzi do ustanowienia szyfrowania punkt-punkt, odpowiada na pytanie o prywatność: wiadomości powinny być czytane tylko przez nadawcę i odbiorcę. W momencie, gdy wiadomość dociera lub przechodzi przez inną osobę lub serwer, filtrowanie nie powiodło się. I to właśnie odkrył zespół niemieckich kryptografów podczas konferencji poświęconej bezpieczeństwu w Szwajcarii.
Celem tej grupy było znalezienie luk w zabezpieczeniach popularnych aplikacji do przesyłania wiadomości. W Signal i Threema znaleźli drobne błędy, ale w WhatsApp znaleźli bardziej niepokojące błędy w rozmowach grupowych. Głównym jest to, że jeśli dana osoba kontroluje serwer WhatsApp, może dodać dowolną inną osobę, jeśli chce, nawet jeśli nie ma uprawnień administratorów.
Ta awaria serwera jest sprzeczna z tym, czego należy oczekiwać od szyfrowania typu punkt-punkt. Nawet jeśli serwery zostały naruszone, rozmowy powinny pozostać bezpieczne. Dzięki tej awarii każdy może je zobaczyć, jeśli przejmie kontrolę nad serwerem.
Według grupy badaczy powodem, dla którego awaria jest możliwa, jest dość prosty błąd. Chociaż tylko administratorzy mają uprawnienia do dodawania nowych członków, WhatsApp nie zapewnia żadnej metody uwierzytelniania. Dlatego serwer nie ma mechanizmu zapobiegającego tej awarii.
Ze swojej strony użytkownicy zobaczą komunikat informujący, że nowy członek został dodany do grupy, ale ponieważ tylko administrator wie, czy to zrobił, czy nie, zależy to od tego, czy ta osoba jest uważny.
Niebezpieczeństwo wzrasta, biorąc pod uwagę, że jeśli przejęli kontrolę nad serwerem, mogą wybrać, kto widział daną wiadomość, oszukując ludzi i unikając wykrycia. Nawet przy kilku administratorach możesz sprawić, że jeden uwierzy, że ktoś inny Cię zaprosił.
Ze swojej strony WhatsApp zareagował na krytykę. Zapewniają, że w przyszłości zamierzają zawrzeć zaproszenie po adresie URL i że wdrożenie środków przeciwko wykrytemu przez niemiecki zespół błędowi złamałoby tę funkcję. Ponadto uważają, że jest mało prawdopodobne, aby ktokolwiek zauważył, że do grupy została dodana niechciana osoba i że powiadomienie, które się pojawi, wskazujące na dodanie nowej osoby, będzie wystarczające.
Jak mówi jeden z odkrywców tego błędu, to tak, jakby powiedzieć, że nikt nie będzie kradł w otwartych drzwiach banku, ponieważ jest kamera bezpieczeństwa. Odpowiedź WhatsApp wydaje się dość niewinna i nie powinna uspokajać użytkowników.
Więc, co o tym myślisz? Po prostu podziel się wszystkimi swoimi poglądami i przemyśleniami w sekcji komentarzy poniżej.