Svešiniekam teorētiski iespējams ielūgt sevi uz Signal, WhatsApp un Threema grupas saraksti
Šā gada 10.janvārī zinātnieku grupa no Vācijas kriptogrāfijas konferencē Šveicē nāca klajā ar ievainojamību Signal šifrēšanas protokola ieviešanā IM (Instatnt Messaging) aplikāciju grupu sarakstēs, tādās kā Signal, WhatsApp un Threema. Šī ievainojamība sniedz teorētisku iespēju svešiniekam no malas sevi „uzaicināt” uz slēgtu grupas saraksti. Facebook piederošā aplikācija WhatsApp ir viena no šobrīd populārākajām saziņas lietotnēm pasaulē, kuru katru dienu lieto vairāk kā viens miljards lietotāju.
Lai nodrošinātu lietotāju datu drošību un nepieejamību, tiek lietota tā saucamā end-to-end datu šifrēšana, tas nozīmē, ka arī pats serveris saņem šifrētu ziņu, un tam nav pieejama atslēga, lai šo ziņu atšifrētu. Kaut arī šis šifrēšanas princips ļoti labi strādā komunikācijā starp diviem lietotājiem, tomēr, kā atklājuši zinātnieki no Vācijas, šis princips nav tik drošs grupu komunikācijā. Konkrētajā gadījumā, tas saistīts ar to, ka visiem grupas sarakstes dalībniekiem ir viena kopīga atslēga, administrators netiek verificēts un uzaicinājums pievienoties grupai tiek nosūtīts nešifrētā veidā. Līdz ar to jebkurš, kurš uzdodas par grupas administratoru, var grupai pievienot jaunus dalībniekus.
Ir arī pozitīvi jaunumi, šāds uzbrukums ir praktiski ļoti grūti realizējams – uzbrucējam ir nepieciešama sākotnēja piekļuve IM saziņas serverim, grupas unikālam 128 simbolu garam identifikatoram, un, pat ja svešiniekam izdotos pievienoties grupas sarakstei, tas noteikti nepaliktu nepamanīts pārējiem grupas dalībniekiem ar paziņojumiem par pievienotu personu grupas dalībnieku sarakstam. Tāpat svešiniekam nebūtu pieejama arī grupas vēsturiskā sarakste.
Ko darīt? Noteikti sekot līdzi pieejamajiem IM aplikāciju atjauninājumiem, pārliecināties par aplikācijas drošu konfigurāciju, kā arī pievērst uzmanību paziņojumiem, kas saistīti ar jaunu dalībnieku pievienošanu grupu sarakstei.
Izmantotie avoti:
[1] http://www.dailymail.co.uk/sciencetech/article-4737018/WhatsApp-1B-users-day-1B-month.html
[2] https://blog.cryptographyengineering.com/2018/01/10/attack-of-the-week-group-messaging-in-whatsapp-and-signal/
[3] https://www.wired.com/story/whatsapp-security-flaws-encryption-group-chats/
Attēls: Pixabay.com