säkerhet

WhatsApp Encryption Det är nu den mest säkra Instant Messenger (eller är det?)

WhatsApp Encryption Det är nu den mest säkra Instant Messenger (eller är det?) / säkerhet

WhatsApp är enkelt den mest använda snabbmeddelandestjänsten för telefoner och surfplattor. Grundades 2009, har tjänsten nu exploderat till mer än 700 miljoner aktiva användare - nästan 250 miljoner mer än det andra alternativet, Kinas WeChat. Sedan företaget förvärvades av Facebook för ett ögonvattenande 19 miljarder dollar för tolv månader sedan, har företaget tvingats städa upp sitt tillvägagångssätt för säkerhet och integritet, vilket resulterade i nyheterna förra året att det har infört nya krypteringsåtgärder. TrueCrypt Is Dead: 4 Diskkrypteringsalternativ för Windows TrueCrypt är dött: 4 Diskkrypteringsalternativ för Windows TrueCrypt är inte längre, men lyckligtvis finns det andra användbara krypteringsprogram. Även om de kanske inte är exakta ersättningar, borde de passa dina behov. Läs mer .

Vad var problemet?

WhatsApp hade lidit otaliga pinsamheter och exponeringar över deras dåliga säkerhet. Problemen började så länge sedan maj 2011, då det upptäcktes en säkerhetsfel som gjorde att användarnas konton kunde få sin session kapad (att få obehörig tillgång till information genom att utnyttja en giltig användningssession) och få sin trafik avlyssnad och inloggad av ett paket sniffer. En ny version av appen släpptes, men data fortsatte att skickas och mottas i ren text.

Deras svårigheter fortsatte till 2012. I början av året publicerade en hackare WhatsAppStatus.net, vilket gjorde det möjligt för människor att ändra status för någon användare av WhatsApp, och utvecklarna av appen var långsamma att svara - i första hand hävdar att felet hade fastställts när de i verkligheten bara hade blockerat webbplatsens IP-adress. Det var inte överraskande att liknande verktyg snart dök upp, och företaget var tvunget att reagera på ett mer robust sätt. I slutet av våren slutade WhatsApp äntligen med att använda rentext för data, men dess ersättning - en kryptografisk metod - kritiserades allmänt för att vara bruten vid lanseringen.

I slutet av 2013 krävde en säkerhetsforskare i Nederländerna vem som helst med tillräcklig teknisk kunskap kunde dekryptera meddelanden som skickades inom appen tack vare flera “lång dokumenterade svagheter” - främst faktumet WhatsApp använde samma krypteringsnyckel på båda sidor av en konversation. Thijs Alkemade, student vid universitetet i Utrecht som upptäckte felet, sa “Du bör utgå från att alla som kan avlyssna på din WhatsApp-anslutning kan dekryptera dina meddelanden, med tanke på tillräcklig ansträngning“. tillsats, “Det finns inget som WhatsApp-användare kan göra om detta ... förutom att sluta använda det tills utvecklarna kan uppdatera det“.

Så sent som i november 2014 gjorde WhatsApp bara två av sju på Electronic Frontier Foundations säkra meddelandecorecard - förlorade poäng tack vare att det använde en kryptering som leverantören hade nyckeln till, var det inte möjligt att verifiera en användares identitet, och dess säkerhetsdesign var inte väl dokumenterad.

Vad var svaret?

Den 18 november förra året var WhatsApps nya ägare Facebook tillräckligt beslutade nog. Även om Facebook inte är exakt välrenommerad med hänsyn till sin egen öppenhet om integritet och säkerhet, ville de inte äventyra sitt dyra nya förvärv och riskera att förlora användare till en rivaliserande tjänst som Viber eller Tango Tango - Ett Budding Skype Alternative För Android, IOS och Windows Tango - Ett spännande Skype-alternativ för Android, iOS och Windows Världen av Voice over IP expanderar snabbt, och vi får fler och fler alternativ för att ringa till våra vänner utan att betala mobilleverantörer. Den starkaste och mest kända konkurrenten på detta område är uppenbarligen ... Läs mer .

Som ett resultat av detta tillkännagav de ett nytt partnerskap med Open Whisper Systems i en överenskommelse som äntligen skulle bringa end-to-end-kryptering till tjänsten, förhoppningsvis förbannande gremlinerna från de föregående tre åren. Open Whisper sa att den nya krypteringen skulle vara den största i sitt slag någonstans i världen, och skulle använda TextSecure - en tjänst som använder en kryptografisk nyckel som är unik för enskilda enheter - för att skydda sin jätte användarbas. Experter blev snabbt imponerade, som Wired hävdade att lösningen var “praktiskt taget orakelbar“, och Wall Street Journal uttalade det “krypteringen är så robust att även brottsbekämpningen inte kommer att kunna dekryptera WhatsApp-meddelanden“.

Hur fungerar det?

Istället för att lagra nycklarna för att kryptera krypteringen på en centraliserad server som ägs och drivs av WhatsApp-utvecklarna, fungerar end-to-end-kryptering genom att istället endast lagra nycklarna på en användares enhet. När det kombineras med TextSecure, som använder ett protokoll som heter “framhäva sekretess” att utfärda en ny nyckel för varje nytt meddelande är det lätt att se varför WhatsApps VD Jan Koum hävdade att de hade “nu byggt WhatsApp kring målet att veta så lite om dig som möjligt ... Respekt för din integritet är kodad i vårt DNA“.

Den kryptering som nu används av tjänsten skiljer sig enormt från den som används av liknande snabbmeddelandeprogram. Glöm WhatsApp: 6 Säkra kommunikationsapplikationer Du har nog aldrig hört av att glömma WhatsApp: 6 Säkra kommunikationsapplikationer Du har nog aldrig hört av Electronic Frontier Foundation ( EFF) är en lobbygrupp dedikerad till "försvar av medborgerliga friheter i den digitala världen". De upprätthåller Scorecard Secure Messaging, vilket gör att det är oroande att läsa för fans av snabbmeddelanden. Läs mer och sociala nätverk, som för det mesta fortfarande lagrar nycklarna på sina egna servrar samt en persons enhet. Det innebär att företag och regeringar kan komma åt innehållet i dina meddelanden och data efterfrågan, vilket gör det lättare för hackare att få tillgång till privat och personlig information.

Faktum är att flytten av WhatsApp är en del av en större rörelse mot ökad integritet av ledande tekniska företag, men inte alla är glada. När Apple och Google båda utvidgade sina krypteringstjänster Google End-To-End-kryptering, Slender Man Attempted Murder [Tech News Digest] Google End-to-End-kryptering, smal man försökt mord [Tech News Digest] Google går från slutet till slutet , Kickstarter mjukar kampanjregler, Sony dödar PSP, Chrome går 64-bitars, Slender Man försökt mord, Todoist For Business och tonåringar som reagerar på 90-talets Internet. Läs mer under hela WhatsApp-meddelandet, kritiserade FBI-direktören James Comey flytten, hävdar det “Post-Snowden-pendeln har nu svängt för långt“.

Är alla problem fasta?

Att tillhandahålla effektiv säkerhet är inte lätt. Medan WhatsApp tydligt var långt bakom spelet vid årtionskiftet, låter sen 2014-uppdateringen helt hackersäker. Tyvärr är det sällan fallet, och under de senaste dagarna har mer negativ press uppstått för Mountain View-baserade företag.

Även om innehållet i en användares meddelande tycks vara fortsatt säker har en enkel mjukvara släppts som kan användas av hackare för att kringgå olika sekretessinställningar, vilket ger dem möjlighet att se om en användare är online eller offline, ett sätt att övervaka en persons profilbild, ett sätt att se en användares status och möjligheten att se någons personliga personliga inställningar.

Programvaran, som heter WhatsSpy Public, har skapats av en nederländsk utvecklare och kan avslöja tidslinjen för en spåradons online status även om användaren har de striktaste sekretesskontrollerna. Allt du behöver veta om dina WhatsApp-sekretessinställningar Allt du behöver Veta om dina WhatsApp-sekretessinställningar Som med alla kommunikationsverktyg är integritet av yttersta vikt. Så här skyddar du din integritet när du använder WhatsApp. Läs mer aktiverat. “Du kanske tror att du nu har ställt alla alternativ till "ingen", du är säker, privacy-wise, men ändå kan jag fortfarande följa dina drag på WhatsApp” sa mjukvarans designer Maikel Zweerink. Den goda nyheten för användare är att programvaran är svår att ställa in, och kommer bara att kunna spåra användare på rotade Androids eller fängelsebrutna iPhones - så om du använder en “vanilj” OS du borde vara ok.

WhatsApp har ännu inte svarat på påståenden officiellt, även om en insider flyttar för att spela upp överträdelsen när han berättade för brittiska media att “Detta är inte ett hack ... i huvudsak byggde han ett program som bara registrerar och övervakar information som han har tillgång till i alla fall“.

Trots det, med tanke på WhatApps dåliga track record, är det osannolikt att användarna tar mycket tröst i uttalandet. Vad som helst sanningen kan vara, pekar problemet bara på det övergripande faktumet att säkerhet i en digital ålder aldrig kan tas för givet. även när du tror att du är skyddad kan du vara säker på att det finns en hackare eller en brottsling som letar efter nästa bugg eller fel som kan kompromissa dig.

Vad tror du?

Använder du whatsapp? Har sin stackars historia någonsin avstått från tjänsten? Har du försökt några meddelandemetoder men alltid befinner dig att dras tillbaka till den allestädes närvarande appen? Är integritet generellt oroad över dig, eller prenumererar du på sinnena “inget att gömma, inget att frukta”?

Vi skulle älska att höra från dig. Låt oss veta dina tankar i kommentarerna nedan.

Utforska mer om: Chat-klient, Online-sekretess, Online-säkerhet, WhatsApp.