Pesan Terenkripsi di Beberapa Perangkat Dapat Meningkatkan Risiko, Kata Para Ahli

December 02, 2021
DiBerita Keamanan Internet

click fraud protection

Takeaways Kunci

WhatsApp sedang menguji kemampuan multi-perangkat beta dengan sekelompok kecil pengguna.
Fitur baru akan memungkinkan pengguna untuk menyinkronkan komunikasi di empat perangkat tambahan.
Para ahli mengatakan mungkin ada pengorbanan privasi saat berkomunikasi di seluruh perangkat, bahkan ketika dienkripsi.

tangan bekerja dengan ponsel dan komputer laptop dengan teknologi grafis digital — Busakorn Pongparnit / Getty Images

Setelah pengumuman Juli bahwa kemampuan multi-perangkat dalam versi beta, Pengguna WhatsApp bersukacita karena dapat masuk melalui beberapa perangkat. Tetapi apakah kenyamanan tambahan itu akan disertai dengan pengorbanan untuk privasi? Inilah yang perlu Anda ketahui.

Meskipun itu protokol enkripsi yang diakui, aplikasi perpesanan populer memiliki datang di bawah api A beberapa kali di dalam tahun terakhir (dan, eh, kemarin) untuk berbagai kerentanan, menimbulkan pertanyaan tentang keamanannya. Para ahli memperingatkan juga mungkin ada pengorbanan saat menghubungkan beberapa perangkat ke aplikasi komunikasi terenkripsi.

"[Pertanyaannya] bukan hanya menambahkan lebih banyak perangkat, tetapi apakah mereka selalu aman?"

Steven M. Bellovin, seorang profesor ilmu komputer di Universitas Columbia, mengatakan kepada Lifewire dalam sebuah wawancara telepon. "Ungkapan keamanannya adalah 'serangan permukaan'—di berapa banyak tempat Anda bisa diserang, dan dalam berapa banyak cara berbeda?"

Secara teknis Aman

Menurut Bellovin, salah satu masalah yang lebih menantang untuk diatasi tentang mengamankan beberapa perangkat di bawah satu akun dimulai dengan fondasi dasar enkripsi.

"Semua enkripsi bergantung pada kunci rahasia," kata Bellovin, membandingkan kunci enkripsi dengan kunci mobil yang hanya dapat menghidupkan mobil miliknya. "Setiap orang harus memilikinya sendiri. Itu sebabnya Anda bisa membacanya dan tidak ada orang lain yang bisa."

Karena setiap aplikasi yang bergantung pada enkripsi ujung ke ujung (E2EE) menggunakan protokol khusus berdasarkan prinsip-prinsip yang mendasari penanganan kunci dan namespace (yang terakhir biasanya nomor telepon pengguna), Bellovin mengatakan tantangannya adalah menemukan cara untuk memindahkan kunci dengan aman dan mengautentikasi pemilik di beberapa perangkat—sesuatu yang katanya "tidak mudah pertanyaan."

Kunci Kerajaan

Seperti pesaingnya, WhatsApp sudah memungkinkan pengguna untuk masuk di komputer selama mereka juga masuk ke ponsel cerdas yang terkait dengan kunci mereka (perusahaan mengatakan itu kemudian mencerminkan akun). Namun, di bawah sistem beta, setiap perangkat yang disinkronkan akan memiliki kuncinya sendiri—memungkinkan pengguna untuk masuk ke empat perangkat tambahan tanpa telepon.

"[Pertanyaannya] bukan hanya menambahkan lebih banyak perangkat, tetapi apakah mereka selalu aman?"

"E2EE biasanya menggunakan satu kunci enkripsi per pengguna, yang perlu menyalin kunci tersebut ke setiap perangkat yang ingin mereka gunakan... Itu sebabnya WhatsApp, sampai sekarang, hanya mendukung satu perangkat—karena sulit untuk menjaga kunci enkripsi itu tetap aman saat memindahkannya ke beberapa perangkat. perangkat," John S. ko, seorang peneliti keamanan yang pekerjaannya berfokus pada pendekatan E2EE multi-perangkat yang disebut per-device keys (PDK), mengatakan kepada Lifewire melalui email.

"Dengan PDK, alih-alih pengguna hanya memiliki satu kunci enkripsi, masing-masing perangkat pengguna memiliki kunci enkripsi sendiri. WhatsApp tampaknya mengambil konsep ini dan mengacu pada kunci perangkat sebagai 'kunci identitas'," kata Koh. "Salah satu manfaat E2EE pada banyak perangkat yang menggunakan pendekatan saya, dan mungkin WhatApp, yang mengandalkan satu kunci per perangkat, adalah bahwa model penggunaan jauh lebih mudah dipahami oleh pengguna. Imbalannya adalah kasus pengguna kehilangan perangkat mereka dan perlu menghapus aksesnya, yang terkadang bisa menjadi proses yang melelahkan."

Lebih Banyak Perangkat, Solusi Sama

"Jawaban apakah sesuatu aman selalu dimulai dengan pertanyaan lain, yaitu, 'Apa kebutuhan Anda?'" Maritza Johnson, pakar keamanan dan privasi dan direktur pusat di University of San Diego, mengatakan kepada Lifewire dalam sebuah wawancara telepon.

Untuk mengatasi kebutuhan keamanan individu, Facebook mengatakan dalam posting blog bahwa WhatsApp berencana menawarkan kemampuan untuk melihat semua perangkat yang ditautkan ke akun, melihat kapan terakhir digunakan, dan logout dari jarak jauh—sesuatu yang menurut Johnson penting, terutama bagi korban pelecehan pasangan yang terkadang sasaran cyberstalking.

pria menggunakan ponsel menjelajahi internet, bekerja melalui komputer laptop di atas meja di kantor rumah — Tippapatt / Getty Images

"Anda tidak ingin ponsel mantan pacar Anda mendapatkan salinan semuanya dan Anda tidak tahu, atau Anda tidak tahu cara mematikannya," kata Johnson. "Ini adalah keputusan pribadi, jika Anda ingin masuk ke akun WhatsApp Anda di perangkat bersama, dan pikirkan apa implikasinya."

Johnson juga menekankan pentingnya memastikan setiap perangkat yang ditautkan dilindungi kata sandi untuk menghindari orang lain mengaksesnya secara fisik—sesuatu yang tidak dapat dilindungi oleh enkripsi terkuat.

"Laptop, tablet, atau perangkat lain apa pun yang Anda gunakan dengan akun yang sama, pastikan Anda memiliki tingkat keamanan dasar yang sama pada semua itu... sehingga seseorang tidak bisa hanya menggesek untuk membuka," kata Johnson.