Laika ziņas
Šodien
Skaidrs

Kad šifrēšana ir veltīga: Atklāj "drošības caurumu" saziņas lietotnē WhatsApp

Pirms nepilniem diviem gadiem populārākā ātrās saziņas mobilā lietotne WhatsApp paziņoja, ka visiem tās lietotājiem (šo saziņas rīku ikdienā izmanto miljards cilvēku) nu vairs nav jāuztraucas par to, ka viņu savstarpējo saziņu redzēs nevēlamas acis - WhatsApp ieviesa pilnīgu datu šifrēšanu jeb tā saucamo end-to-end encryption, kas nozīmē, ka lietotāju saziņu neredz pat pats pakalpojuma sniedzējs, proti, WhatsApp. Tomēr nu kiberdrošības eksperti ir atklājuši būtisku "drošības caurumu", kas prasmīgiem ļaunprāšiem dot teorētisku iespēju grupu sarakstēs pievienot nelūgtus viesus un attiecīgi redzēt konkrētās grupas saziņu.

Pilnīgā datu šifrēšana strādā tā, ka viens lietotājs sūta ziņojumu sevis izvēlētam saņēmējam, un sūtītāja mobilā lietotne pieprasa WhatsApp serverim publisko atslēgu konkrētajai saziņai. Ziņojums tiek šifrēts ar šo atslēgu, bet saņēmējs datus atšifrē ar privāto atslēgu, kas atrodas tikai uz saņēmēja ierīces. Katrai nosūtītajai ziņai ir sava atšķirīga atslēga. Saziņa ir pilnīgā drošībā no "trešo personu acīm", tostarp tiesībsargājošajām iestādēm, taču tas nepasargā pret nelūgtiem viesiem grupu sarunās.

Proti, šifrēšanas speciālistu grupa no Vācijas atklājusi, ka prasmīgi hakeri teorētiski spēj iefiltrēt grupu sarakstēs konkrētā čata administratora nelūgtas personas. Vispirms gan hakerim jāpiekļūst WhatsApp serverim, ziņo tehnoloģiju portāls Wired.

Real World Crypto drošības konferencē, kas trešdien sākās Cīrihē, Šveicē, ekspertu grupa no Rūras Universitātes prezentē pētījumu, kurā izgaismotas vairākas nepilnības šifrētās ātrās saziņas lietotnēs (ne tikai WhatsApp, bet arī Signal un Threema), kas faktiski visus šifrēšanas pūliņus padara veltīgus, jo ļauj šifrētos ziņojumus saņemt "iefiltrētiem" adresātiem. 

Pētnieki secinājuši, ka jebkurš, kurš ieguvis kontroli pār WhatsApp serveriem, tālāk bez lielām pūlēm var pievienot jaunus lietotājus visādi citādi privātām grupu sarakstēm, un darīt to bez konkrētās grupu sarakstes administratora akcepta. 

Grupā pievienotie cilvēki redzēs paziņojumu, ka grupai pievienots jauns lietotājs, taču var noturēt to par administratora darbību, kurš konkrēto lietotāju ielūdzis. Jo vairāk sarakstē iesaistīto, jo grūtāk ziņu gūzmā būs pamanīt paziņojumu par jauna lietotāja uzrašanos. Ja arī kādam rodas aizdomas un šis lietotājs nolemj tās paust citiem grupas biedriem, arī šo brīdinājumu iespējams apiet -  līdz ko persona - serverī ielauzies hakeris - ir iefiltrējusies konkrētajā sarakstē, šī persona var ziņojumus aizturēt un izvēlēties, kurus no tiem nosūtīt, bet kurus - nē.

"Ja ir ieviesta datu šifrēšana, jānovērš arī iespējas "no malas" pievienot nelūgtus lietotājus. Pretējā gadījumā no šifrēšanas jēgas faktiski nav," norādījis viens no pētījuma autoriem Pauls Rozlers.

"Ja tu esi uzbūvējis sistēmu, kur galu galā visa drošība ir atkarīga no servera drošības, tikpat labi varēja nepūlēties ar šifrēšanu un citām sarežģītām lietām. Tur viss ir salaists dēlī, tam nav attaisnojuma," skarbu kritiku pauda šifrēšanas eksperts, Džona Hopkinsa Universitātes profesors Metjū Grīns.

Tā kā priekšnosacījums svešas saziņas lasīšanai, pievienojot jaunu lietotāju grupu sarakstēs, ir WhatsApp serveru kontrolēšana, potenciālo draudu avoti nav sevišķi daudz, taču vērā ņemami - tie ir paši WhatsApp darbinieki, valdības aģentūras, kuras ar juridiskiem paņēmieniem var mēģināt panākt sev interesējošo sarunu novērošanu vai ļoti prasmīgi hakeri.

WhatsApp pārstāvji sarunā ar Wired gan norādīja, ka aizdomu gadījumā pēc paziņojuma par jauna, nepazīstama lietotāja pievienošanos grupai, jebkuram no grupas biedriem vienmēr ir iespēja administratoram par to paziņot divpusējā sarakstē, kurā ļaunprātis ziņojumus nevarēs aizturēt. WhatsApp uzskata, ka tādējādi pārāk slepena saziņas izspiegošana, pat par spīti drošības caurumam, neesot reāla. 

Profesors Grīns gan norāda, ka jāmeklē adekvāts drošības risinājums: "Tas ir gluži kā atstāt bankas durvis neaizslēgtas un apgalvot, ka to taču neviens nemēģinās izlaupīt, jo ir novērošanas kamera. Tas ir muļķīgi."

Top komentāri

Mērfijs
M
Pret katru viltnieku atradīsies kāds vēl lielāks viltnieks.
Skatīt visus komentārus

Seko mums

Seko līdzi portāla Diena.lv jaunākajām ziņām arī sociālajos tīklos!

Ziņas e-pastā

Saņem Diena.lv aktuālās ziņas e-pastā!

LAIKRAKSTA DIENA PUBLIKĀCIJAS

Vairāk LAIKRAKSTA DIENA PUBLIKĀCIJAS

Aktuāli


Interesanti

Vairāk Interesanti

Receptes

Vairāk Receptes

Dzīvnieki

Vairāk Dzīvnieki

Notikumi

Vairāk Notikumi

Cits

Vairāk Cits

Dienas dziesma

Vairāk Dienas dziesma

Tehnoloģijas

Vairāk Tehnoloģijas

Zirnis joko

Vairāk Zirnis joko