16/01/2017

Luka w zabezpieczeniach WhatsApp i jak ją naprawić

Technologie

W piątek trzynastego przesądni ludzie szukają źródeł pecha w losowych wydarzeniach lub działaniach: na przykład gdy czarny kot przebiegnie komuś drogę lub ktoś stłucze lusterko. Jednak czasami w takie „nieszczęśliwe” dni rzeczywiście pojawiają się niedobre informacje.

Ostatnio z takiej okazji The Guardian opublikował historię pod tytułem WhatsApp backdoor allows snooping on encrypted messages (backdoor dla WhatsApp umożliwia podsłuchiwanie szyfrowanych wiadomości). Historia opisuje backdoora zgłoszonego przez badacza Tobiasa Boeltera.

Według Guardiana:

Szyfrowanie end-to-end w komunikatorze WhatsApp opiera się na generowaniu unikatowych kluczy zabezpieczających przy wykorzystaniu uznanego protokołu Signal utworzonego przez firmę Open Whisper Systems, którymi użytkownicy się wymieniają i weryfikują je w celu zagwarantowania bezpieczeństwa komunikacji oraz tego, że nie przechwyci jej osoba obca. Jednak komunikator WhatsApp oferuje użytkownikom będącym offline możliwość wymuszonego generowania nowych kluczy szyfrowania bez wiedzy nadawcy i odbiorcy tych wiadomości, a także ponowne zaszyfrowanie wiadomości przez nadawcę przy użyciu nowych kluczy i wysłanie ich dla wszystkich wiadomości, które nie zostały oznaczone jako dostarczone.

Odbiorca nie ma świadomości tej zmiany w szyfrowaniu, a nadawca otrzymuje jedynie powiadomienie, o ile ma włączoną opcję ostrzeżeń o szyfrowaniu i tylko gdy wiadomości zostały wysłane ponownie. To ponowne szyfrowanie i ponowne wysyłanie skutecznie umożliwia komunikatorowi WhatsApp przechwytywanie i czytanie wiadomości użytkowników.

Chociaż nie wiadomo, czy jest to prawdziwy błąd, czy funkcja, użytkownicy komunikatora WhatsApp mogą naprawić to sami:

  • Android: kliknij Konto => Zabezpieczenia => Pokaż powiadomienia zabezpieczeń.
  • iOS: kliknij koło zębate w prawym dolnym rogu, następnie wybierz Konto => Zabezpieczenia => Pokaż powiadomienia zabezpieczeń.

Jeśli otrzymasz poniższy komunikat bezpieczeństwa (zrzut z platformy iOS), a Twoja rozmowa jest poufna i chcesz mieć pewność, że nikt nie podsłuchuje, najlepiej jest poczekać, aż użytkownik znów będzie online, a Ty będziesz mógł potwierdzić i włączyć szyfrowanie całkowite.

Jak wspomnieliśmy w naszym poście o komunikatorach prywatnych, pojęcie prawdziwej prywatności jest dosyć skomplikowane. Zadbaj o bezpieczeństwo swoich danych, korzystając z odpowiednich ustawień. Wkrótce na tym blogu napiszemy jeszcze więcej informacji związanych z prywatnością i bezpieczeństwem, więc zostań z nami.