În 2016, WhatsApp a permis în sfârșit criptarea completă de la capăt, atât pentru chaturi cât și pentru apeluri video, pentru a se asigura că nimeni, în afară de destinatarul destinat, nu poate descifra conținutul comunicațiilor lor. Din păcate, a ieșit la iveală faptul că sistemul WhatsApp a fost afectat de o vulnerabilitate majoră care a fost descoperită de Tobias Boelter, un cercetător de criptografie și securitate la Universitatea din California, Berkeley.
Într-un interviu acordat ziarului britanic The Guardian, Boelter a declarat că backdoor-ul ar putea lăsa Facebook să citească conținut criptat de la capăt la capăt, ceea ce înseamnă că rețeaua socială ar putea fi respectată cu ordonanțele judecătorești pentru a pune mesaje decriptate disponibile pentru forțele de ordine și alte agenții guvernamentale.
ACTUALIZAȚI: Am primit un răspuns de la WhatsApp cu privire la presupusa backdoor.
Un purtător de cuvânt WhatsApp a furnizat următoarea declarație pentru iDownloadBlog, explicând de ce afirmația The Guardian de securitate potențial compromisă este falsă.
The Guardian a postat o poveste în această dimineață în care susținea că o decizie intenționată de proiectare în WhatsApp care împiedică oamenii să piardă milioane de mesaje este un „backdoor” care permite guvernelor să forțeze WhatsApp să decripteze fluxurile de mesaje. ** Această afirmație este falsă. **
WhatsApp nu oferă guvernelor un „backdoor” în sistemele sale și ar lupta împotriva oricărei solicitări a guvernului de a crea o backdoor. Decizia de proiectare menționată în povestea The Guardian împiedică pierderea a milioane de mesaje, WhatsApp oferă notificărilor de securitate oamenilor pentru a le avertiza asupra riscurilor potențiale de securitate..
WhatsApp a publicat o carte albă tehnică cu privire la designul său de criptare și a fost transparentă cu privire la solicitările guvernamentale pe care le primește, publicând date despre aceste solicitări în Raportul privind solicitările guvernului Facebook. (Https://govtrequests.facebook.com/)
Criptarea utilizată de WhatsApp se bazează pe protocolul Open Whisper Systems.
Ceea ce este suspect aici este că aceeași vulnerabilitate nu este prezentă în aplicația Signal. Boelter a confirmat că vulnerabilitatea permite practic WhatsApp să schimbe cheile de criptare pentru utilizatorii offline. Drept urmare, toate mesajele inedite sau viitoare vor fi trimise cu o nouă cheie de criptare fără ca destinatarul să-și dea seama.
Expeditorul este înștiințat numai dacă a optat pentru a avertiza criptarea în setările WhatsApp, dar numai după ce mesajele au fost trimise din nou. Această re-criptare și re-difuzare permite eficient WhatsApp să intercepteze și să citească mesajele utilizatorilor.
Contrastați acest lucru cu sistemul de semnal menționat, care notifică expeditorului orice schimbare a cheilor de securitate fără a trimite automat mesajul. De fapt, un mesaj nu va fi livrat prin intermediul aplicației Signal dacă apare o modificare a cheilor de criptare.
Boelter a raportat problema către Facebook în aprilie 2016 doar pentru a i se spune că acesta este „un comportament așteptat”, ridicând suspiciunea că acesta ar putea fi un backdoor creat în mod deliberat, mai degrabă decât o supraveghere a ingineriei sau un bug de un fel..
Mai îngrijorător, The Guardian a verificat că backdoor-ul există și astăzi.
Campanii de confidențialitate au criticat dezvoltarea ca o „amenințare uriașă la libertatea de exprimare”, spunând că ar putea fi exploatată de agențiile guvernamentale. Existența unei părți posterioare în cadrul criptării WhatsApp este „o mină de aur pentru agențiile de securitate” și „o trădare uriașă a încrederii utilizatorilor”, a declarat Kristie Ball, co-director și fondator al Centrului pentru Cercetări în Informații, Supraveghere și Confidențialitate.
În orice caz, Facebook ar trebui să fie curat cu siguranță dacă a fost compromisă sau nu criptarea de la capăt la cap a WhatsApp. Și dacă da, apare întrebarea inevitabilă: Facebook a fost obligat de o terță parte să construiască un backdoor în WhatsApp?
Facebook a refuzat comentariul, dar vom actualiza articolul dacă și când vor face acest lucru.
Sursa: The Guardian