r   e   k   l   a   m   a
r   e   k   l   a   m   a

WhatsApp niby całkiem zaszyfrowany, ale wciąż nie można mu całkiem zaufać

Strona główna AktualnościBEZPIECZEŃSTWO

Z wielką dumą twórcy WhatsAppa poinformowali w tym tygodniu, że ich komunikator jest bezpieczny. Po ponad półtora roku, kiedy to WhatsApp zaczął wdrażać podstawowe mechanizmy szyfrowania end-to-end, udało się wreszcie w ten sposób zabezpieczyć wszystkie komunikaty, włącznie z zawierającymi media i wysyłanymi na czaty grupowe. Należący do Facebooka ogromnie popularny komunikator mobilny miałby w ten sposób stać się odporny na podsłuch, nawet ze strony samych jego administratorów. Jak zapewniano, takie właśnie pełne szyfrowanie end-to-end będzie przyszłością osobistej komunikacji. Serwisy branżowe pospieszyły więc z dobrą nowiną, zachęcając swoich czytelników do bezpiecznych pogawędek przez WhatsAppa – i nikt jakby nie zauważył, że jedynym dowodem na bezpieczeństwo komunikatora są deklaracje jego producenta.

Nikt nie zauważył – poza niemieckim Spieglem, który już wczoraj pisał, że użytkownicy nie powinni ślepo wierzyć we WhatsAppa. Korzystanie z niego do przesyłania najbardziej poufnych zdjęć (np. konstruowanych w domowym zaciszu broni masowego rażenia) może źle się skończyć. Mimo że faktycznie szyfrowanie end-to-end jest w WhatsAppie włączone domyślnie, mimo że faktycznie obejmuje media i rozmowy grupowe, to jednak jest w tym wszystkim kilka haczyków.

Przede wszystkim pełne szyfrowanie w czatach grupowych włączane jest tylko wtedy, gdy wszyscy uczestnicy korzystają z najnowszej wersji aplikacji. Wystarczy, by tylko jeden z uczestników był na starszej wersji, a już z szyfrowania nici. Takie rozwiązanie może wiele osób wprowadzić w błąd co do poufnej natury ich rozmów. Być może liczba dotkniętych tym problemem osób nie jest duża, ale można sobie wyobrazić, że już wypadku niektórych czatów grupowych, np. koordynujących antyrządowe demonstracje, prowokatorzy mogliby się postarać, by celowo używać starszych wersji aplikacji. Biorąc pod uwagę, że w grupie może być nawet 256 osób, trudne może być wyłowienie winowajcy uniemożliwiającego zaszyfrowanie wiadomości.

r   e   k   l   a   m   a

Co jednak w przypadku tych bardziej osobistych rozmów jeden na jednego? Czy i tu można znaleźć jakąś lukę? Ano można. Owszem, dane w WhatsAppie są szyfrowane, ale metadane nie są. Odbiorca, nadawca, daty nadania wiadomości, ich rozmiary – to wszystko jest dostępne, to wszystko może zostać przeanalizowane na odpowiednio potężnym sprzęcie celem zakreślenia społecznościowych grafów łączących ludzi. Wiele z tego można wyczytać, a mocy obliczeniowej do analizy raczej nie zabraknie. Facebookowi jej na pewno nie brakuje. Firma Zuckerberga nawet zresztą nie udaje, że metadane chce gromadzić. W regulaminie usługi komunikacyjnej możemy przeczytać, że Whats App może zachować datę i czas powiązane z dostarczonymi wiadomościami, numery telefonów wykorzystywane do rozmowy oraz wszelkie inne informacje, do których gromadzenia WhatsApp zobowiązany jest prawem.

Markus Böhm i Angela Gruber ze Spiegla przypominają też o jeszcze jednej, dość niewygodnej dla WhatsAppa kwestii, a mianowicie otwartości. Kto badał ten komunikator pod względem poprawności implementacji jego algorytmów? Mamy tu do czynienia z binarnym, własnościowym kodem, bez możliwości przeprowadzenia niezależnego audytu. Może i sam protokół komunikacji jest w porządku (zastosowano tu otwarty Signal), ale to, co robi z nim program, pozostaje pod znakiem zapytania – tym bardziej, że teraz wiele wysyłanych informacji jest zaszyfrowanych. Skąd mamy więc wiedzieć, czy właściciel WhatsAppa nie umieścił tam jakiejś swojej furtki?

Szyfrowanie w WhatsAppie może więc wielu użytkownikom dawać jedynie fałszywe poczucie bezpieczeństwa, tym bardziej że program nie chroni ani przed keyloggerami, które mogłyby przechwytywać treści pisane przez użytkownika, ani też nie oferuje efektywnej, domyślnie włączonej metody uwierzytelniania naszych rozmówców, tak byśmy mogli sprawdzić, że faktycznie są tymi, za kogo się podają, a nie podszywającymi się pod nich prowokatorami.

Trudno zignorować te zarzuty – należący do Facebooka komunikator jakby zbyt wiele chciał o użytkowniku wiedzieć. Nie jest w tym zresztą odosobniony. Nawet tak zachwalany Signal z jakiegoś powodu żąda ujawnienia numeru telefonu. Zainteresowanym naprawdę prywatnym i bezpiecznym rozmawianiem na smartfonie polecamy przede wszystkim opensource'ową aplikację ChatSecure, oferującą szyfrowanie OTR przez dowolny serwer XMPP. Najlepiej w tym celu wybrać takiego dostawcę Jabbera, który dba o prywatność swoich użytkowników. Godni polecenia są OTR.im oraz Calyx Institute.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.