Isi kandungan:
Banyak perbualan turun baru-baru ini mengenai cara baru untuk mengeksploitasi WhatsApp dan memintas penyulitan akhir-ke-akhir yang disukai syarikat untuk menyebut bahawa ia mempunyai setiap kali ia dapat. Saya telah melihat tweet dan komen yang menjalankan gamut dari "itu FUD" untuk bercakap tentang beberapa pintu belakang yang telah dipasang Facebook.
Berita baiknya ialah tidak. Malah, ia bukanlah salah satu daripada perkara-perkara yang anda perlu bimbang dan sebaliknya adalah salah satu perkara yang membuat anda tertanya-tanya bagaimana ia pernah berlaku di tempat pertama kerana ia agak ceroboh. Tetapi jangan risau - ia akan tetap lama sebelum apa-apa berlaku.
Apa ini
Penyelidik Paul Rösler, Christian Mainka, dan Jörg Schwenk di Ruhr-Universität di Bochum, Jerman mengeluarkan kertas penyelidikan (pautan.pdf) yang menemui kekurangan pelik dalam pentadbiran sembang kumpulan WhatsApp. WhatsApp menawarkan penyulitan akhir-akhir yang sama untuk sembang kumpulan yang dilakukan untuk perbualan individu, dan itu biasanya bermaksud kita harus berasa selamat dalam mengetahui bahawa perkara-perkara yang kita katakan tidak akan dibaca oleh sesiapa yang tidak sepatutnya membacanya melainkan salah satu daripada ahli kumpulan membiarkannya berlaku.
Rupa-rupanya, secara teorinya mungkin bagi orang asing untuk menambah diri mereka kepada sembang kumpulan di WhatsApp. "Secara teoritis" dan "mungkin" menjadi kata kunci di sini. Saya akan menerangkan.
WhatsApp menawarkan mesej kumpulan yang menggunakan penyulitan end-to-end yang kuat.
Dalam sembang kumpulan WhatsApp satu atau lebih ahli asal adalah pentadbir. Dari sudut pandangan pelayan, ini bermakna orang-orang ini dapat menambah dan mengalih keluar orang dari kumpulan. Segala-galanya adalah baik setakat ini, walaupun cara ia berfungsi - pentadbir menghantar isyarat kepada setiap ahli kumpulan dengan kunci penandatanganannya dan sebagai balasannya, setiap anggota menghantar mesej kembali dengan kunci tandatangan mereka maka pemula mesej itu memaklumkan setiap ahli bahawa kini ada orang baru dalam kumpulan - adalah sedikit kludge untuk mewujudkan antara muka pengguna yang baik. Jika anda bukan pentadbir, satu-satunya perkara yang anda tahu ialah anda melihat mesej bahawa Jerry kini menjadi ahli kumpulan. Anda boleh menerima atau meninggalkan sembang itu.
Kesilapan yang sama didapati dengan mesej kumpulan melalui Isyarat.
Masalahnya adalah bahawa WhatsApp tidak betul mengesahkan permintaan pengurusan kumpulan ini pada server sendiri. Pelayan WhatsApp perlu memberi ID dengan betul pengirim mesej yang akan menambahkan seseorang ke sembang kumpulan. Orang itu menghantar mesej bahawa ID kedua-dua kumpulan dan ahli yang ingin ditambahkan dan pemeriksaan pelayan untuk memastikan orang yang menghantarnya sebenarnya pentadbir sembang. Mesej-mesej ini tidak disulitkan dari akhir ke hujung, dan sebaliknya menggunakan penyulitan pengangkutan standard - mesej yang datang dari pentadbir bual dan pergi ke pelayan yang meminta pengguna ditambahkan ke sembang tidak ditandatangani oleh pengirim dengan kunci penyulitan mereka.
Ini bermakna pelayan WhatsApp boleh menambah mana-mana pengguna yang diminati kumpulan mana-mana, pada bila-bila masa. Pelayan boleh, bukan pengguna lain. Itu penting, dan itu bermakna apa-apa privasi dijangka dalam sembang kumpulan WhatsApp bergantung semata-mata untuk mempercayai pelayan sembang WhatsApp. Itu mengalahkan keseluruhan tujuan penyulitan akhir-ke-hujung, yang direka supaya privasi dijanjikan walaupun server dikompromikan kerana hanya penghantar dan penerima boleh menyahsulit mesej.
Dan kemudian internet kehilangan minda kolektifnya kerana itulah yang internet sangat baik dilakukan.
Ini tidak akan berlaku tetapi masih perlu diperbetulkan
Satu-satunya cara kecacatan ini boleh dieksploitasi adalah oleh seseorang yang mempunyai akses kepada pelayan yang melakukannya. Itu bermakna pelayan akan dikompromi, atau pekerja menjadi nakal, atau agensi kerajaan tiga huruf memfailkan waran. Mana-mana perkara yang boleh berlaku, mungkin telah berlaku pada masa lalu, dan mungkin juga berlaku sekarang. Tetapi satu perkara lain perlu dipertimbangkan - anda akan tahu jika ia berlaku pada sembang anda.
Anda dimaklumkan apabila seseorang itu ditambah kepada sembang kumpulan, disulitkan atau tidak.
Perkara pertama yang dilakukan pelayan selepas ahli ditambah adalah memberitahu setiap ahli kumpulan yang lain bahawa "Jerry telah ditambahkan ke obrolan." Anda akan melihat mesej yang memberitahu anda seseorang telah ditambahkan, dan begitu juga orang lain. Apabila Jerry tiba di pihak perbualan peribadi dengan lelucon buruknya dan bir murah, dan tiada siapa yang menjemputnya, itu akan menjadi tanda bahawa ada sesuatu yang salah dan tiada siapa yang harus mempertimbangkan apa-apa yang mereka akan menaip secara peribadi. Pek dan beralih ke sembang lain tanpa Jerry dan mungkin juga perkhidmatan yang berbeza yang tidak akan membiarkan dia jatuh.
Oleh itu tiada sesiapa yang akan dapat secara rahsia menyemak sembang kumpulan tersulam, tetapi ini masih menjejaskan penyulitan akhir-ke-akhir dalam setiap cara yang mungkin. Ia perlu dibetulkan dengan serta-merta, dan mungkin juga keseluruhan kaedah pengurusan kumpulan perlu dirombak. Pada minimum, kita semua perlu menggaru kepala kita dan bertanya-tanya bagaimana sesuatu seperti ini tergelincir oleh pengaturcara dan juruaudit kod. Ini premis yang tidak masuk akal yang tidak akan dieksploitasi, tetapi tetap.
Apa yang perlu anda lakukan
Tiada apa apa sebenarnya. Menghargai kerja yang dilakukan oleh Rösler, Mainka, dan Schwenk dalam mencari kesilapan ini kerana penyelidikan keselamatan adalah pekerjaan yang tidak puas dan kerap berfikiran, tetapi sebelum ini anda tidak perlu mengubah rutin anda sama sekali. Kaedah pengesahan permintaan untuk menambah ahli ke dalam sembang kumpulan tersulam akan disusun oleh orang yang menyimpan roda WhatsApp yang berputar sesaat dan ini akan berubah dari kecacatan yang tidak akan dieksploitasi untuk kecacatan yang tidak lagi boleh dieksploitasi di semua.
Apa yang penting ialah anda memberi perhatian, kerana kecacatan seterusnya mungkin menjadi salah satu yang memerlukan tindakan di pihak anda. Dan akan ada lagi kelemahan, jadi pastikan anda terus memberi perhatian.
