WhatsApp niby całkiem zaszyfrowany, ale wciąż nie można mu całkiem zaufać

WhatsApp niby całkiem zaszyfrowany, ale wciąż nie można mu całkiem zaufać07.04.2016 23:28

Z wielką dumą twórcy WhatsAppa poinformowali w tym tygodniu, żeich komunikator jest bezpieczny. Po ponad półtora roku, kiedy toWhatsApp zaczął wdrażać podstawowe mechanizmy szyfrowaniaend-to-end, udało się wreszcie w ten sposób zabezpieczyćwszystkie komunikaty, włącznie z zawierającymi media i wysyłanymina czaty grupowe. Należący do Facebooka ogromnie popularnykomunikator mobilny miałby w ten sposób stać się odporny napodsłuch, nawet ze strony samych jego administratorów. Jakzapewniano, takie właśnie pełne szyfrowanie end-to-end będzieprzyszłością osobistej komunikacji. Serwisy branżowe pospieszyływięc z dobrą nowiną, zachęcając swoich czytelników dobezpiecznych pogawędek przez WhatsAppa – i nikt jakby niezauważył, że jedynym dowodem na bezpieczeństwo komunikatora sądeklaracje jego producenta.

Nikt nie zauważył – poza niemieckim Spieglem, który jużwczorajpisał, że użytkownicy nie powinni ślepo wierzyć weWhatsAppa.Korzystanie z niego do przesyłania najbardziej poufnych zdjęć (np.konstruowanych w domowym zaciszu broni masowego rażenia) może źlesię skończyć. Mimo że faktycznie szyfrowanie end-to-end jest wWhatsAppie włączone domyślnie, mimo że faktycznie obejmuje mediai rozmowy grupowe, to jednak jest w tym wszystkim kilka haczyków.

Przede wszystkim pełne szyfrowanie w czatach grupowych włączanejest tylko wtedy, gdy wszyscy uczestnicy korzystają z najnowszejwersji aplikacji. Wystarczy, by tylko jeden z uczestników był nastarszej wersji, a już z szyfrowania nici. Takie rozwiązanie możewiele osób wprowadzić w błąd co do poufnej natury ich rozmów.Być może liczba dotkniętych tym problemem osób nie jest duża,ale można sobie wyobrazić, że już wypadku niektórych czatówgrupowych, np. koordynujących antyrządowe demonstracje,prowokatorzy mogliby się postarać, by celowo używać starszychwersji aplikacji. Biorąc pod uwagę, że w grupie może być nawet256 osób, trudne może być wyłowienie winowajcy uniemożliwiającegozaszyfrowanie wiadomości.

Co jednak w przypadku tych bardziej osobistych rozmów jeden najednego? Czy i tu można znaleźć jakąś lukę? Ano można. Owszem,dane w WhatsAppie są szyfrowane, ale metadane nie są. Odbiorca,nadawca, daty nadania wiadomości, ich rozmiary – to wszystko jestdostępne, to wszystko może zostać przeanalizowane na odpowiedniopotężnym sprzęcie celem zakreślenia społecznościowych grafówłączących ludzi. Wiele z tego można wyczytać, a mocyobliczeniowej do analizy raczej nie zabraknie. Facebookowi jej napewno nie brakuje. Firma Zuckerberga nawet zresztą nie udaje, żemetadane chce gromadzić. W regulaminie usługi komunikacyjnej możemyprzeczytać, że Whats App może zachować datę i czas powiązane zdostarczonymi wiadomościami, numery telefonów wykorzystywane dorozmowy oraz wszelkie inne informacje, do których gromadzeniaWhatsApp zobowiązany jest prawem.

Markus Böhm i Angela Gruber ze Spiegla przypominają też ojeszcze jednej, dość niewygodnej dla WhatsAppa kwestii, amianowicie otwartości. Kto badał ten komunikator pod względempoprawności implementacji jego algorytmów? Mamy tu do czynienia zbinarnym, własnościowym kodem, bez możliwości przeprowadzenianiezależnego audytu. Może i sam protokół komunikacji jest wporządku (zastosowano tu otwarty Signal), ale to, co robi z nimprogram, pozostaje pod znakiem zapytania – tym bardziej, że terazwiele wysyłanych informacji jest zaszyfrowanych. Skąd mamy więcwiedzieć, czy właściciel WhatsAppa nie umieścił tam jakiejśswojej furtki?

Szyfrowanie w WhatsAppie może więc wielu użytkownikom dawaćjedynie fałszywe poczucie bezpieczeństwa, tym bardziej że programnie chroni ani przed keyloggerami, które mogłyby przechwytywaćtreści pisane przez użytkownika, ani też nie oferuje efektywnej,domyślnie włączonej metody uwierzytelniania naszych rozmówców,tak byśmy mogli sprawdzić, że faktycznie są tymi, za kogo siępodają, a nie podszywającymi się pod nich prowokatorami.

Trudno zignorować te zarzuty – należący do Facebookakomunikator jakby zbyt wiele chciał o użytkowniku wiedzieć. Niejest w tym zresztą odosobniony. Nawet tak zachwalany Signalz jakiegoś powodu żąda ujawnienia numeru telefonu. Zainteresowanymnaprawdę prywatnym i bezpiecznym rozmawianiem na smartfonie polecamyprzede wszystkim opensource'ową aplikację ChatSecure,oferującą szyfrowanie OTR przez dowolny serwer XMPP. Najlepiej wtym celu wybrać takiego dostawcę Jabbera, który dba o prywatnośćswoich użytkowników. Godni polecenia są OTR.imoraz CalyxInstitute.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na