Logo th.androidermagazine.com
Logo th.androidermagazine.com
» ข่าว
ข่าว

ข้อบกพร่องด้านความปลอดภัยในการแชทของกลุ่ม Whatsapp: สิ่งที่คุณต้องรู้

ข้อบกพร่องด้านความปลอดภัยในการแชทของกลุ่ม Whatsapp: สิ่งที่คุณต้องรู้

สารบัญ:

Anonim

มีการพูดคุยกันมากมายเมื่อไม่นานมานี้เกี่ยวกับวิธีใหม่ในการใช้ประโยชน์จาก WhatsApp และหลีกเลี่ยงการเข้ารหัสแบบ end-to-end ที่ บริษัท ชอบพูดถึงว่ามันมีทุกครั้งที่ทำได้ ฉันเห็นทวีตและความคิดเห็นที่ใช้ช่วงเสียงจาก "It's FUD" เพื่อพูดถึงแบ็คดอร์ที่ Facebook ติดตั้งไว้

ข่าวดีก็คือว่ามันไม่ใช่ ในความเป็นจริงมันไม่ได้เป็นหนึ่งในสิ่งเหล่านั้นที่คุณต้องกังวลและแทนที่จะเป็นหนึ่งในสิ่งเหล่านั้นที่ทำให้คุณสงสัยว่ามันเกิดขึ้นในครั้งแรกเพราะมันค่อนข้างเลอะเทอะ แต่ไม่ต้องกังวล - มันจะได้รับการแก้ไขนานก่อนที่จะมีอะไรเกิดขึ้น

มันคืออะไร

นักวิจัย Paul Rösler, Christian Mainka และJörg Schwenk ที่ Ruhr-Universitätใน Bochum ประเทศเยอรมนีได้เปิดตัวรายงานการวิจัย (ลิงก์. pdf) ที่พบข้อบกพร่องที่แปลกประหลาดในการบริหารการสนทนากลุ่มของ WhatsApp WhatsApp นำเสนอการเข้ารหัสจากต้นทางถึงปลายทางที่เหมือนกันสำหรับการแชทกลุ่มที่ทำเพื่อการแชทเดี่ยว ๆ และนั่นหมายความว่าเราควรจะรู้สึกปลอดภัยเมื่อรู้ว่าสิ่งที่เราพูดจะไม่สามารถอ่านได้โดยทุกคนที่ไม่ควรอ่าน อ่านมันจนกว่าสมาชิกคนใดคนหนึ่งในกลุ่มจะปล่อยให้มันเกิดขึ้น

เห็นได้ชัดว่าเป็นไปได้ในทางทฤษฎีที่คนแปลกหน้าสามารถเพิ่มตนเองในการแชทเป็นกลุ่มใน WhatsApp "ในทางทฤษฎี" และ "เป็นไปได้" เป็นคำสำคัญที่นี่ ฉันจะอธิบาย

WhatsApp เสนอการส่งข้อความกลุ่มที่ใช้การเข้ารหัสจากต้นทางถึงปลายทางที่แข็งแกร่ง

ในการแชทกลุ่ม WhatsApp สมาชิกเดิมหนึ่งคนขึ้นไปเป็นผู้ดูแลระบบ จากมุมมองของเซิร์ฟเวอร์นั่นหมายความว่าบุคคลเหล่านี้สามารถเพิ่มและลบบุคคลออกจากกลุ่ม ทุกอย่างดีถึงแม้ว่ามันจะใช้งานได้ดีแล้วผู้ดูแลระบบก็ส่งสัญญาณให้สมาชิกทุกคนในกลุ่มด้วยคีย์การเซ็นชื่อของเขาหรือเธอและในทางกลับกันสมาชิกแต่ละคนจะส่งข้อความกลับมาพร้อมกุญแจเซ็นของพวกเขา แจ้งสมาชิกแต่ละคนว่าขณะนี้มีคนใหม่ในกลุ่ม - เป็นบิตของ kludge เพื่อสร้างส่วนต่อประสานผู้ใช้ที่ดี หากคุณไม่ใช่ผู้ดูแลระบบสิ่งเดียวที่คุณรู้ก็คือคุณจะเห็นข้อความว่า Jerry เป็นสมาชิกของกลุ่ม คุณสามารถยอมรับหรือออกจากการแชท

พบข้อบกพร่องที่คล้ายกันกับการส่งข้อความกลุ่มผ่านสัญญาณ

ปัญหาคือ WhatsApp ไม่ได้ตรวจสอบคำขอการจัดการกลุ่มเหล่านี้อย่างถูกต้องบนเซิร์ฟเวอร์ของตัวเอง เซิร์ฟเวอร์ WhatsApp ต้องระบุ ID ผู้ส่งข้อความอย่างถูกต้องซึ่งจะเพิ่มบุคคลในการแชทเป็นกลุ่ม บุคคลส่งข้อความที่ ID ทั้งกลุ่มและสมาชิกที่ต้องการเพิ่มและเซิร์ฟเวอร์ตรวจสอบเพื่อให้แน่ใจว่าบุคคลที่ส่งเป็นผู้ดูแลระบบแชทจริง ข้อความเหล่านี้ไม่ได้รับการเข้ารหัสตั้งแต่ต้นทางถึงปลายทางและใช้การเข้ารหัสการส่งผ่านแบบมาตรฐานแทน - ข้อความที่มาจากผู้ดูแลระบบการแชทและไปยังเซิร์ฟเวอร์ที่ขอให้ผู้ใช้เพิ่มลงในการแชทนั้น ไม่ได้ลงนามโดยผู้ส่ง.

นี่หมายความว่าเซิร์ฟเวอร์ WhatsApp สามารถเพิ่มผู้ใช้ที่ต้องการให้กลุ่มใด ๆ ได้ตลอดเวลา เซิร์ฟเวอร์ สามารถไม่ใช่ผู้ใช้อื่น นั่นเป็นสิ่งสำคัญและนั่นหมายถึงความเป็นส่วนตัวใด ๆ ที่คาดหวังในการแชทกลุ่ม WhatsApp ขึ้นอยู่กับการวางใจในเซิร์ฟเวอร์การแชทของ WhatsApp นั่นเอาชนะจุดประสงค์ทั้งหมดของการเข้ารหัสแบบครบวงจรซึ่งออกแบบมาเพื่อรับประกันความเป็นส่วนตัวแม้ว่าเซิร์ฟเวอร์จะถูกบุกรุกเพราะมีเพียงผู้ส่งและผู้รับเท่านั้นที่สามารถถอดรหัสข้อความได้

แล้วอินเทอร์เน็ตก็สูญเสียความคิดส่วนรวมเพราะนั่นคือสิ่งที่อินเทอร์เน็ตทำดีจริงๆ

สิ่งนี้จะไม่เกิดขึ้น แต่ยังคงต้องการการแก้ไข

วิธีเดียวที่จะใช้ประโยชน์จากข้อบกพร่องนี้คือใครบางคนที่สามารถเข้าถึงเซิร์ฟเวอร์ได้ นั่นหมายถึงเซิร์ฟเวอร์ถูกบุกรุกหรือพนักงานโกงหรือหน่วยงานรัฐบาลสามตัวอักษรยื่นใบสำคัญแสดงสิทธิ สิ่งเหล่านี้อาจเกิดขึ้นได้อาจเกิดขึ้นในอดีตและอาจเกิดขึ้นได้ในขณะนี้ แต่ต้องพิจารณาอีกเรื่องหนึ่ง - คุณจะรู้ว่ามันเกิดขึ้นกับการแชทของคุณหรือไม่

คุณจะได้รับแจ้งเมื่อใดก็ตามที่บุคคลนั้นถูกเพิ่มในการแชทเป็นกลุ่มเข้ารหัสหรือไม่

สิ่งแรกที่เซิร์ฟเวอร์ทำหลังจากที่มีการเพิ่มสมาชิกคือการแจ้งสมาชิกทุกคนในกลุ่มว่า "Jerry ถูกเพิ่มในการแชท" คุณจะเห็นข้อความแจ้งว่ามีคนถูกเพิ่มเข้ามาและทุกคนก็จะเป็นเช่นนั้น เมื่อเจอรี่มาที่ปาร์ตี้แชทส่วนตัวด้วยมุขตลกและเบียร์ราคาถูกของเขาและไม่มีใครเชิญเขานั่นจะเป็นสัญญาณว่ามีบางอย่างผิดปกติและไม่มีใครควรพิจารณาสิ่งที่พวกเขากำลังจะพิมพ์เป็นส่วนตัว จัดเก็บและย้ายไปที่การแชทอื่นโดยไม่ต้องเจอรี่และอาจเป็นบริการที่แตกต่างซึ่งจะไม่ทำให้เขาพัง

ดังนั้นไม่มีใครจะสามารถตรวจสอบการแชทกลุ่มที่เข้ารหัสลับของคุณได้อย่างลับๆ แต่สิ่งนี้ยังคงทำลายการเข้ารหัสแบบ end-to-end ทุกวิธีที่เป็นไปได้ จำเป็นต้องได้รับการแก้ไขทันทีและอาจต้องปรับปรุงวิธีการจัดการกลุ่มทั้งหมด อย่างน้อยที่สุดเราทุกคนต้องเกาหัวของเราและสงสัยว่าบางสิ่งบางอย่างเช่นใบนี้โดยโปรแกรมเมอร์และผู้ตรวจสอบรหัส มันเป็นหลักฐานที่ไร้สาระที่จะไม่ถูกใช้ประโยชน์ แต่ยัง

สิ่งที่คุณต้องทำ

ไม่มีอะไรจริงๆ. ชื่นชมงานที่ทำโดยRösler, Mainka และ Schwenk ในการค้นหาข้อบกพร่องนี้เพราะการค้นคว้าด้านความปลอดภัยเป็นงานที่ไม่ต้องขอบคุณและบ่อยครั้งที่ทำให้ใจไม่สบาย แต่ที่ผ่านมาคุณไม่จำเป็นต้องเปลี่ยนกิจวัตรประจำวันเลย วิธีการตรวจสอบความถูกต้องของคำขอเพื่อเพิ่มสมาชิกในการแชทเป็นกลุ่มที่เข้ารหัสจะถูกแยกออกโดยคนที่คอยหมุนวงล้อของ WhatsApp ในไม่ช้าและสิ่งนี้จะเปลี่ยนจากข้อบกพร่องที่จะไม่ถูกใช้เป็นข้อบกพร่องที่ไม่สามารถใช้ประโยชน์ได้อีก ทั้งหมด

สิ่งที่สำคัญคือคุณต้องให้ความสนใจเพราะข้อบกพร่อง ถัดไป อาจเป็นสิ่งที่ต้องดำเนินการในส่วนของคุณ และจะมีข้อบกพร่องอีกประการหนึ่งดังนั้นอย่าลืมให้ความสนใจต่อไป

ข่าว

ตัวเลือกของบรรณาธิการ