WhatsApp的“后门”故事是怎么回事?
相关标签:
根据定义:“后门是计算机系统的一种功能或缺陷,允许对数据进行秘密的未经授权的访问。”后门要么是在加密算法中,要么是在服务器中,要么是在实现中,而不管它以前是否被使用过。
昨天,我们发表了一篇基于安全研究人员Tobias Boelter报告的研究结果的报道,该报道表明WhatsApp有一个后门,“可能允许”攻击者,当然还有公司本身,拦截你的加密通信。
这个故事涉及世界上最大的安全消息平台,在全球拥有超过10亿用户,在几个小时内迅速传播开来,引起了安全专家、WhatsApp团队和Open Whisper Systems的反应,他们与Facebook合作,在WhatsApp中实施端到端加密。
问题是什么:
该漏洞取决于最终用户的加密密钥更改时WhatsApp的行为方式。默认情况下,WhatsApp信任联系人广播的新加密密钥,并使用它重新加密未送达的邮件,并在不通知发件人更改的情况下发送邮件。
在我的前一篇文章中,我用一个简单的例子详细阐述了这个漏洞,因此您可以继续阅读这篇文章以更好地理解它。
专家们认为:
According to some security experts —“它不是后门,而是一种功能,可以避免在自动重新生成时对加密密钥进行不必要的重新验证。”Open Whisper Systems says — “不存在WhatsApp后门”,“这是密码学的工作原理”,而MITM攻击“是公钥密码学的特有现象,而不仅仅是WhatsApp。”
2014年被Facebook以160亿美元收购的WhatsApp的发言人说—;“卫报关于WhatsApp中所谓后门的报道是错误的。WhatsApp没有给政府提供进入其系统的后门。WhatsApp将反对任何政府创建后门的请求”。
事实是:
值得注意的是,没有一位安全专家或该公司否认,如果需要,WhatsApp、应政府要求或国家资助的黑客可以拦截您的聊天。
他们要说的就是;WhatsApp的设计非常简单,用户在更改加密密钥时不应失去对发送给他们的消息的访问。
Open Whisper Systems(OWS)在一篇博客文章中批评《卫报》的报道称,“尽管我们是WhatsApp所谓的“后门”加密协议的创造者,但我们没有被要求置评”。
正如我在上一篇文章中提到的,这个后门与开放式耳语系统创建的信号加密协议的安全性无关。如果实施正确,它是最安全的加密协议之一。
那为什么信号比WhatsApp更安全呢?
你可能想知道为什么Signal private messenger比Whatsapp更安全,而两者都使用相同的端到端加密协议,甚至是由同一组安全专家推荐的;“WhatsApp没有后门”。这是因为总有改进的余地。
默认情况下,signal messaging应用程序允许发送者在使用新密钥之前验证密钥。然而,WhatsApp在默认情况下会自动信任收件人的新密钥,而不会通知发件人。
即使发送者开启了安全通知,应用程序也只有在消息传递后才会通知发送者更改。
因此,WhatsApp选择了可用性而不是安全性和隐私性。
这不是关于“我们信任WhatsApp/Facebook吗?”
WhatsApp表示,它不会给政府一个进入其系统的“后门”。毫无疑问,如果该公司收到任何此类法庭命令,并且目前正在尽最大努力保护其10多亿用户的隐私,它肯定会与政府抗争。
但政府资助的黑客呢?因为从技术上讲,没有只有公司才能进入的“保留”后门。
为什么“验证密钥”功能不能保护你?
但问题是:
此功能可确保在您验证密钥时没有人拦截您的消息或呼叫,但不能确保过去或将来没有人会拦截您的加密通信,而且目前没有任何方法可以帮助您识别这一点。
WhatsApp对此类MITM攻击的预防是不完整的
但是,如果不使用另一种终极工具,这个功能不足以保护您的通信— 常识.
您是否收到通知,表明您联系人的安全代码已更改?
WhatsApp不提供“设计的安全性”,而是希望其用户使用他们的常识,在不手动验证密钥的情况下,不要与最近更改了安全密钥的联系人通信。
WhatsApp自动频繁地(出于某些原因)更改您的安全密钥,以至于人们会开始忽略此类通知,这使得用户几乎不可能每次都主动查看会话密钥的真实性。
WhatsApp应该做什么?
WhatsApp在不惊吓超过10亿用户的情况下,至少可以:- 停止如此频繁地重新生成用户的加密密钥(我显然不知道该公司为什么这么做)。
- 在设置中为关注隐私的人提供一个选项,如果启用该选项,在用户手动接受或验证之前,不会自动信任新的加密密钥并发送消息。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
