WhatsApp obsahuje zranitelnost v end-to-end šifrování

WhatsApp loni získala zabezpečení komunikace pomocí end-to-end šifrování. Pro uživatele to znamená, že komunikace mezi uživatelem A a uživatelem B se vytvoří šifrované spojení vytvořené pomocí privátního a veřejného klíče. Zjednodušeně řečeno, komunikaci jsou schopny číst pouze dvě mezi sebou komunikující strany. Na každé straně je generován offline tajný klíč a dále veřejný klíč, který slouží k rozšifrování komunikace druhou stranou. Poskytovatel služby k této komunikaci nemá přístup. Takto by měla komunikace, zabezpečená end-to-end šifrováním, fungovat.

Popišme si názorně, jak vlastně šifrovaná komunikace mezi dvěma stranami funguje. Uživatel Pepa a uživatel Tonda se rozhodnou komunikovat. Pro tuto komunikaci služba WhatsApp zajistí výměnu veřejných klíčů na svém serveru.

Každá zpráva, kterou odešle uživatel Pepa, je zašifrována privátním klíčem, který je vygenerován na straně Pepy a veřejným klíčem na straně Tondy. Tato zpráva může být rozšifrována pouze Tondou a to za použití veřejného klíče, který používá Pepa a privátního klíče, který používá Tonda.

Předpokládejme, že Tonda je offline a Pepa se rozhodne Tondovi poslat zprávu. Tonda se ale z nějakého důvodu rozhodne změnit zařízení,nebo to stávající přeinstaluje. Bude muset znovu nakonfigurovat WhatsApp aplikaci. Jakmile bude Tonda opět online, obdrží zprávy, které mu poslal Pepa. Jak ale může Tonda dešifrovat zprávy se starými veřejnými klíči, které byly odeslány Pepou? Jednoduše. WhatsApp provedla na svých serverech novou výměnu veřejných klíčů, aniž by o tom Pepu a Tondu informovala čímž úspěšně doručila Pepovy zprávy Tondovi. A to je to slabé místo, které backdoor využívá.

Pokud by se tedy hacker, nebo kdokoliv na straně poskytovatele, pokusil nahradit veřejný klíč Tondy za svůj vlastní, obdržel by zprávy dešifrované a mohl by vidět jejich obsah.

Tobias Boelter – bezpečnostní výzkumník Kalifornské univerzity, na tuto chybu poukázal již krátce po spuštění end-to-end šifrování. Facebook, vlastník služby, nicméně toto za chybu neoznačil. Naopak sdělil, že je to v pořádku. Dle mínění WhatsApp se vlastně jedná o užitečný backdoor, který zajišťuje to, že budou zprávy doručeny druhé straně i tehdy, když změní zařízení a aplikaci reinstaluje. Sečteno a podtrženo, WhatsApp implementovala chybu, která má službu dělat použitelnější.

Hledáte opravdu bezpečnou komunikaci? Zkuste Signal Messenger

Signal je považován za nejbezpečnější komunikátor vůbec, který používá Open Whisper System. Stáhnout jej lze na Google Play i na iTunes.

 
Jakub Sobotka

Jakub Sobotka

IT geek, milovník mobilních technologií, blogger … Ve volném čase sedlá horský bajk, rád fotí a tráví čas se svou rodinou ….. šéfredaktor a zakladatel webu Techbrain.cz

Nový komentář