Uurijate sõnul on WhatsAppis tagauks, firma sõnul pole turvalisus ohus

Pane tähele! Artikkel on ilmunud enam kui 5 aastat tagasi ning kuulub Geeniuse digitaalsesse arhiivi.
whatsapp2.jpg

Turvalisusekspert Tobias Boelter avastas WhatsAppi krüpteerimistehnoloogiast vea, mis lubaks Facebookil või valitsustel kasutajatesaadetud sõnumeid lugeda, kirjutabThe Guardian.Krüptotehnoloogia looja sõnul on aga see teadlikult tehtud valik, mis ei ohusta kasutajate turvalisust.

WhatsApp kasutab krüpteerimiseks Open WhisperSignal (OWS) protokolli, millega luuakse kahele äpi kaudu vestlevale osapoolelevõtmed. WhatsAppi rakenduse puhul saab lehe väitel genereerida uue võtme kasutajate saadetud sõnumitele, kui see sõnum pole veel saadetuks märgitud. Lehe teatel kasutab sama protokolli näiteks suhtlusäpp Signal, mida Edward Snowden on soovitanud kui turvalist, ja Signali puhul sellist puudust võtmete genereerimisel ei ole.Selle tulemusel saab WhatsApp sõnumi sisule ligi või saab neileligipääsu mõnele riigiasutusele, kui nii on nõutud.

Vea avastaja raporteeris selle ka WhatsAppi omanikule Facebookile, kuid sai vastuseks, etsee ei ole viga ning seda ei parandata.

OWS: mingit tagaust pole, mõistlik kompromiss

WhatsAppi krüpteerimislahenduse looja OWSvastas aga Guardiani süüdistustele, et mingit tagaust ei ole ja tegu on mõistliku kompromissiga kasutatavuse ja turvalisuse vahel. Lühidalt öeldes on privaatsuse osas ekstra-tähelepanelikel endiselt võimalik jälgida krüptovõtmetega toimuvat, kuid lõviosale kasutajatest (WhatsAppi kaudu suhtleb üle miljardi inimese) jõuga seda peale ei sunnita.

Firma selgituse kohaselt võivad krüptovõtmed muutuda, kui näiteks vestluse üks osapool kustutab WhatsAppi oma telefonist ja paigaldab selle siis uuesti või lihtsalt vahetab telefone. Sellisel puhul teavitatakse muutusest vestluse teist osapoolt ja turvalisuse huvides peaksid vestlejad käsitsi krüptovõtmete kontrollnumbrid üle kinnitama.

Ainus küsimusOWSi sõnul on see, et kas sellisel puhul peaks WhatsApp vestlejaid jõuga sundima numbreid kontrollima – mille käigus nad saaks kindlaks teha, et üks pool on näiteks tõesti telefoni vahetanud, mitte pole võtmeid muutnud salaja vestlust jälgiv kolmas osapool. WhatsAppi otsus oli aga seda mitte jõuga teha, vaid jättanumbrite kontrollvabatahtlikuks. Vastasel juhul võiks see tekitada segadust või hoopis täiendava turvariski.

Foto:Hernán Piñera/CC/Flickr

Populaarsed lood mujal Geeniuses

Igal argipäeval

Ära jää ilma päeva põnevamatest lugudest

Saadame sulle igal argipäeval ülevaate tehnoloogia-, auto-, raha- ja meelelahutusportaali olulisematest lugudest.