הודעות מוצפנות במספר מכשירים עשויות להגדיל סיכונים, אומרים מומחים

לאחר ההכרזה על כך ביולי יכולות ריבוי מכשירים היו בגרסת בטא, משתמשי וואטסאפ שמחו על הרעיון של אפשרות להתחבר בכמה מכשירים. אבל האם הנוחות הנוספת תבוא עם פשרות לפרטיות? הנה מה שאתה צריך לדעת.

למרות שלה פרוטוקול הצפנה עטור שבחים, יש לאפליקציית ההודעות הפופולרית לעלות באש א מספר פעמים ב שנים האחרונות (וכן, אתמול) עבור נקודות תורפה רבות, מה שמעלה שאלות לגבי האבטחה שלו. מומחים מזהירים שיכולות להיות פשרות גם בעת חיבור מכשירים מרובים לכל אפליקציית תקשורת מוצפנת.

"[השאלה] היא לא רק הוספת מכשירים נוספים, אלא האם הם תמיד מאובטחים?" סטיבן מ. בלובין, פרופסור למדעי המחשב באוניברסיטת קולומביה, אמר ל-Lifewire בראיון טלפוני. "ביטוי האבטחה הוא 'שטח תקיפה' - בכמה מקומות אפשר לתקוף אותך, ובכמה דרכים שונות?"

מאובטח טכנית

לדברי בלובין, אחת הבעיות היותר מאתגרות לטיפול באבטחת מכשירים מרובים תחת חשבון אחד מתחילה ביסודות הבסיסיים של ההצפנה.

"כל ההצפנה תלויה במפתח סודי", אמר בלובין, והשווה בין מפתחות הצפנה למפתחות רכב שיכולים להתניע רק את המכונית שהם שייכים אליה. "לכל אדם צריך להיות משלו. זו הסיבה שאתה יכול לקרוא אותו ואף אחד אחר לא יכול."

מכיוון שכל אפליקציה המסתמכת על הצפנה מקצה לקצה (E2EE) משתמשת בפרוטוקול ספציפי המבוסס על העקרונות הבסיסיים של טיפול במפתחות ומרחב שמות (האחרון הוא בדרך כלל מספר הטלפון של המשתמש), בלובין אמר שהאתגר הוא למצוא דרך להעביר מפתחות בצורה מאובטחת ולאמת בעלים במספר מכשירים - משהו שלדבריו הוא "לא קל שְׁאֵלָה."

מפתחות לממלכה

כמו מתחרותיה, WhatsApp כבר מאפשרת למשתמשים להיכנס למחשב כל עוד הם מחוברים גם לסמארטפון המשויך למפתח שלהם (החברה אומר שזה ואז משקף את החשבון). עם זאת, במסגרת מערכת הבטא, לכל מכשיר מסונכרן יהיה מפתח משלו - המאפשר למשתמשים להיכנס לארבעה מכשירים נוספים ללא טלפון.

"E2EE משתמש בדרך כלל במפתח הצפנה בודד לכל משתמש, שצריך להעתיק את המפתח לכל מכשיר שהוא רוצה להשתמש בו... זו הסיבה ש-WhatsApp, עד עכשיו, תמך רק במכשיר אחד - כי קשה לשמור על מפתח ההצפנה הזה בטוח ומאובטח בזמן העברתו למספר מכשירים," ג'ון ס. קו, חוקר אבטחה שעבודתו התמקדה בגישת E2EE מרובת מכשירים הנקראת מפתחות לכל התקן (PDK), סיפר ל-Lifewire באימייל.

"עם PDK, במקום שלמשתמשים יהיה רק ​​מפתח הצפנה בודד, לכל אחד מהמכשירים של המשתמש יש מפתח הצפנה משלו. נראה ש-WhatsApp לוקחת את הרעיון הזה ומתייחסת למפתחות המכשיר כאל 'מפתחות זהות'", אמר קו. "אחד היתרונות של E2EE במספר מכשירים המשתמשים בגישה שלי, וככל הנראה של WhatApp, המסתמכת על מפתח אחד לכל מכשיר, הוא שמודל השימוש הרבה יותר קל להבנה עבור המשתמשים. הפשרה היא מקרה הקצה של משתמשים שמאבדים את המכשירים שלהם וצריכים להסיר את הגישה שלו, מה שעלול לפעמים להיות תהליך מייגע".

יותר מכשירים, אותם פתרונות

"התשובה לשאלה האם משהו בטוח מתחילה תמיד בשאלה אחרת, שהיא 'מה הצרכים שלך'". מריצה ג'ונסון, מומחה לאבטחה ופרטיות ומנהל מרכז באוניברסיטת סן דייגו, אמר ל-Lifewire בראיון טלפוני.

כדי לתת מענה לצרכי אבטחה בודדים, פייסבוק אמרה ב פוסט בבלוג ש-WhatsApp מתכננת להציע את האפשרות לצפות בכל המכשירים המקושרים לחשבון, לראות מתי השתמשו בהם לאחרונה, ולהתנתק מרחוק - משהו שג'ונסון אמר חשוב, במיוחד עבור קורבנות של התעללות בבני זוג שלפעמים מטרות של מעקב ברשת.

"אתה לא רוצה שהטלפון של החבר לשעבר שלך יקבל עותק של הכל ואתה לא יודע, או שאתה לא יודע איך לכבות אותו", אמר ג'ונסון. "זו החלטה אישית, אם אתה רוצה להיכנס לחשבון הוואטסאפ שלך במכשיר משותף, ולחשוב מה יהיו ההשלכות של זה".

ג'ונסון גם הדגיש את החשיבות של לוודא שכל מכשיר מקושר מוגן בסיסמה כדי למנוע ממישהו אחר לגשת אליו פיזית - משהו שההצפנה החזקה ביותר לא יכולה להגן מפניו.

"כל מחשב נייד, טאבלט או מכשיר אחר שבו אתה משתמש עם אותו חשבון, תרצה להיות בטוח שאתה יש את אותה רמת אבטחה בסיסית על כל אלה... כך שמישהו לא יכול פשוט להחליק כדי לפתוח", אמר ג'ונסון.