Eksperdid ütlevad, et krüptitud sõnumid mitmes seadmes võivad riske suurendada

Võtmed kaasavõtmiseks

  • WhatsApp on beetatestimine, mis testib väikese kasutajarühmaga mitme seadme võimalusi.
  • Uus funktsioon võimaldab kasutajatel sünkroonida suhtlust nelja lisaseadme vahel.
  • Eksperdid ütlevad, et seadmete vahel suhtlemisel võib esineda privaatsusega seotud kompromisse, isegi kui need on krüptitud.
käsitsi töötamine mobiiltelefoni ja sülearvutiga digitaalse graafikaga

Busakorn Pongparnit / Getty Images

Pärast juulikuist teadet, et mitme seadme võimalused olid beetaversioonis, rõõmustasid WhatsAppi kasutajad idee üle, et neil on võimalik mitmest seadmest sisse logida. Kuid kas lisamugavusega kaasneb privaatsuse kompromiss? Siin on, mida pead teadma.

Vaatamata sellele tunnustatud krüpteerimisprotokoll, on populaarsel sõnumsiderakendusel tule alla sattuda a paar korda sisse Viimastel aastatel (ja ee, eile) paljude haavatavuste puhul, mis tõstatab küsimusi selle turvalisuse kohta. Eksperdid hoiatavad, et mitme seadme ühendamisel mis tahes krüptitud suhtlusrakendusega võib tekkida kompromisse.

"[Küsimus] ei seisne ainult seadmete lisamises, vaid kas need on alati turvalised?"

Steven M. Bellovin, Columbia ülikooli arvutiteaduse professor, rääkis Lifewire'ile telefoniintervjuus. "Turvalause on "ründepind" – kui paljudes kohtades võib teid rünnata ja mitmel erineval viisil?"

Tehniliselt turvaline

Bellovini sõnul algab üks keerulisemaid probleeme mitme seadme kaitsmisel ühe konto alla krüptimise põhialustest.

"Kogu krüpteerimine sõltub salajasest võtmest," ütles Bellovin ja võrdles krüpteerimisvõtmeid autovõtmetega, mis võivad käivitada ainult selle auto, millesse nad kuuluvad. «Igal inimesel peab olema oma. Sellepärast saate seda lugeda ja keegi teine ​​ei saa seda lugeda."

Kuna iga rakendus, mis tugineb täielikule krüptimisele (E2EE), kasutab kindlat protokolli, mis põhineb võtmekäsitluse ja nimeruumi aluspõhimõtetel (viimane on tavaliselt kasutaja telefoninumber), Bellovin ütles, et väljakutse on leida viis võtmete turvaliseks teisaldamiseks ja omanike autentimiseks mitmes seadmes – see pole tema sõnul lihtne. küsimus."

Kuningriigi võtmed

Nagu tema konkurendid, võimaldab WhatsApp juba kasutajatel arvutis sisse logida seni, kuni nad on sisse logitud ka oma võtmega (ettevõte ütleb, et see peegeldab kontot). Beetasüsteemis on aga igal sünkroonitud seadmel oma võti, mis võimaldab kasutajatel ilma telefonita sisse logida nelja lisaseadmesse.

"[Küsimus] ei seisne ainult seadmete lisamises, vaid kas need on alati turvalised?"

"E2EE kasutab tavaliselt ühte krüpteerimisvõtit kasutaja kohta, kes peab võtme kopeerima igasse seadmesse, mida nad soovivad kasutada... Sellepärast WhatsApp, siiani on toetanud ainult ühte seadet, sest seda krüpteerimisvõtit on raske mitmesse seadmesse teisaldamisel turvalisena hoida. seadmed," John S. Koh, rääkis Lifewire'ile e-kirjas turvateadlane, kelle töö on keskendunud mitme seadmega E2EE lähenemisviisile, mida nimetatakse seadmepõhisteks võtmeteks (PDK).

"PDK-ga on selle asemel, et kasutajatel oleks ainult üks krüpteerimisvõti, igal kasutaja seadmel oma krüpteerimisvõti. Näib, et WhatsApp võtab seda kontseptsiooni ja viitab seadme võtmetele kui "identiteedivõtmetele", " ütles Koh. "Üks E2EE eelistest mitmes seadmes, mis kasutavad minu ja eeldatavasti ka WhatAppi lähenemisviisi, mis tugineb ühele võtmele seadme kohta, on see, et kasutajate jaoks on kasutusmudel palju lihtsam mõista. Kompromiss seisneb selles, et kasutajad kaotavad oma seadmed ja peavad neile juurdepääsu eemaldama, mis võib mõnikord olla töömahukas protsess.

Rohkem seadmeid, samad lahendused

"Vastus küsimusele, kas miski on turvaline, algab alati teisest küsimusest, milleks on: "Millised on teie vajadused?"" Maritza Johnson, San Diego ülikooli turvalisuse ja privaatsuse ekspert ning keskuse direktor, rääkis Lifewire'ile telefoniintervjuus.

Üksikute turvavajaduste rahuldamiseks ütles Facebook ajaveebi postitus et WhatsApp kavatseb pakkuda võimalust vaadata kõiki kontoga seotud seadmeid, vaadata, millal neid viimati kasutati, ja logige eemalt välja – Johnsoni sõnul on see oluline, eriti partneri väärkohtlemise ohvrite jaoks, kes mõnikord seda teevad küberjälitamise sihtmärgid.

mees, kes kasutab mobiiltelefoni Internetis, töötab sülearvuti kaudu kodukontoris laual

Tippapatt / Getty Images

"Sa ei taha, et teie endise poiss-sõbra telefon saaks kõigest koopia ja te ei tea või ei tea, kuidas seda välja lülitada," ütles Johnson. "See on isiklik otsus, kui soovite ühiskasutatavas seadmes oma WhatsAppi kontole sisse logida ja mõelda, millised on selle tagajärjed."

Johnson rõhutas ka seda, kui oluline on tagada, et iga lingitud seade oleks parooliga kaitstud, et keegi teine ​​ei pääseks sellele füüsiliselt juurde – mille eest ei saa kaitsta tugevaima krüptimisega.

"Igas sülearvutis, tahvelarvutis või muus seadmes, mida kasutate sama kontoga, peate olema kindel, et neil kõigil on sama baasturvalisuse tase, et keegi ei saaks lihtsalt avamiseks pühkida,“ ütles Johnson.