返回

WhatsApp的“后门”故事是怎么回事?

发布时间:2022-08-06 03:46:38 53
whatsapp


根据定义:“后门是计算机系统的一种功能或缺陷,允许对数据进行秘密的未经授权的访问。”后门要么是在加密算法中,要么是在服务器中,要么是在实现中,而不管它以前是否被使用过。

昨天,我们发表了一篇基于安全研究人员Tobias Boelter报告的研究结果的报道,该报道表明WhatsApp有一个后门,“可能允许”攻击者,当然还有公司本身,拦截你的加密通信。

这个故事涉及世界上最大的安全消息平台,在全球拥有超过10亿用户,在几个小时内迅速传播开来,引起了安全专家、WhatsApp团队和Open Whisper Systems的反应,他们与Facebook合作,在WhatsApp中实施端到端加密。

问题是什么:

该漏洞取决于最终用户的加密密钥更改时WhatsApp的行为方式。

默认情况下,WhatsApp信任联系人广播的新加密密钥,并使用它重新加密未送达的邮件,并在不通知发件人更改的情况下发送邮件。

在我的前一篇文章中,我用一个简单的例子详细阐述了这个漏洞,因此您可以继续阅读这篇文章以更好地理解它。
 
Facebook本身承认Boelter报道的WhatsApp问题,称我们之前已经意识到这个问题,将来可能会改变它,但目前我们还没有积极努力改变它"。

专家们认为:

According to some security experts —“它不是后门,而是一种功能,可以避免在自动重新生成时对加密密钥进行不必要的重新验证。”

Open Whisper Systems says — “不存在WhatsApp后门”,“这是密码学的工作原理”,而MITM攻击“是公钥密码学的特有现象,而不仅仅是WhatsApp。”

2014年被Facebook以160亿美元收购的WhatsApp的发言人说—;“卫报关于WhatsApp中所谓后门的报道是错误的。WhatsApp没有给政府提供进入其系统的后门。WhatsApp将反对任何政府创建后门的请求”。

事实是:

值得注意的是,没有一位安全专家或该公司否认,如果需要,WhatsApp、应政府要求或国家资助的黑客可以拦截您的聊天。

他们要说的就是;WhatsApp的设计非常简单,用户在更改加密密钥时不应失去对发送给他们的消息的访问。

Open Whisper Systems(OWS)在一篇博客文章中批评《卫报》的报道称,“尽管我们是WhatsApp所谓的“后门”加密协议的创造者,但我们没有被要求置评”。
 
没有人说这是“加密后门”相反,这种后门存在于WhatsApp实现端到端加密的方式中,WhatsApp最终允许在不破坏加密的情况下拦截消息。

正如我在上一篇文章中提到的,这个后门与开放式耳语系统创建的信号加密协议的安全性无关。如果实施正确,它是最安全的加密协议之一。

那为什么信号比WhatsApp更安全呢?

你可能想知道为什么Signal private messenger比Whatsapp更安全,而两者都使用相同的端到端加密协议,甚至是由同一组安全专家推荐的;“WhatsApp没有后门”。

这是因为总有改进的余地。

默认情况下,signal messaging应用程序允许发送者在使用新密钥之前验证密钥。然而,WhatsApp在默认情况下会自动信任收件人的新密钥,而不会通知发件人。

即使发送者开启了安全通知,应用程序也只有在消息传递后才会通知发送者更改。

因此,WhatsApp选择了可用性而不是安全性和隐私性。

这不是关于“我们信任WhatsApp/Facebook吗?”

WhatsApp表示,它不会给政府一个进入其系统的“后门”。

毫无疑问,如果该公司收到任何此类法庭命令,并且目前正在尽最大努力保护其10多亿用户的隐私,它肯定会与政府抗争。

但政府资助的黑客呢?因为从技术上讲,没有只有公司才能进入的“保留”后门。

为什么“验证密钥”功能不能保护你?

whatsapp-security-code-verify-keys
WhatsApp还提供了第三个安全层,您可以通过扫描二维码或比较60位数字来验证与您通信的其他用户的密钥。

但问题是:

此功能可确保在您验证密钥时没有人拦截您的消息或呼叫,但不能确保过去或将来没有人会拦截您的加密通信,而且目前没有任何方法可以帮助您识别这一点。

WhatsApp对此类MITM攻击的预防是不完整的


whatsapp-security-notifications
WhatsApp已经提供了一个“安全通知”功能,可以在联系人的安全代码发生更改时通知用户,您需要通过应用程序设置手动打开该功能。

但是,如果不使用另一种终极工具,这个功能不足以保护您的通信— 常识.

您是否收到通知,表明您联系人的安全代码已更改?

WhatsApp不提供“设计的安全性”,而是希望其用户使用他们的常识,在不手动验证密钥的情况下,不要与最近更改了安全密钥的联系人通信。

WhatsApp自动频繁地(出于某些原因)更改您的安全密钥,以至于人们会开始忽略此类通知,这使得用户几乎不可能每次都主动查看会话密钥的真实性。

WhatsApp应该做什么?

WhatsApp在不惊吓超过10亿用户的情况下,至少可以:
  • 停止如此频繁地重新生成用户的加密密钥(我显然不知道该公司为什么这么做)。
  • 在设置中为关注隐私的人提供一个选项,如果启用该选项,在用户手动接受或验证之前,不会自动信任新的加密密钥并发送消息。
因为和其他人一样,我也讨厌使用两个应用程序与我的朋友和同事交流,即隐私信号和WhatsApp,因为每个人都使用它。

 

特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
评论区(0)
按点赞数排序
用户头像
精选文章
thumb 中国研究员首次曝光美国国安局顶级后门—“方程式组织”
thumb 俄乌线上战争,网络攻击弥漫着数字硝烟
thumb 从网络安全角度了解俄罗斯入侵乌克兰的相关事件时间线