Šifrované správy na viacerých zariadeniach môžu zvýšiť riziká, tvrdia odborníci

December 02, 2021
VNovinky Internetová Bezpečnosť

click fraud protection

Kľúčové poznatky

WhatsApp beta testuje možnosti viacerých zariadení s malou skupinou používateľov.
Nová funkcia umožní používateľom synchronizovať komunikáciu medzi štyrmi ďalšími zariadeniami.
Odborníci tvrdia, že pri komunikácii medzi zariadeniami, aj keď je šifrovaná, môžu nastať kompromisy v oblasti ochrany osobných údajov.

ručná práca s mobilným telefónom a prenosným počítačom s technológiou digitálnej grafiky — Busakorn Pongparnit / Getty Images

Po jej júlovom vyhlásení, že možnosti viacerých zariadení boli v beta verzii, užívatelia WhatsApp sa tešili myšlienke, že sa budú môcť prihlásiť cez viacero zariadení. Prinesie však dodatočné pohodlie aj kompromisy za ochranu súkromia? Tu je to, čo potrebujete vedieť.

Napriek jeho uznávaný šifrovací protokolmá populárna aplikácia na odosielanie správ dostať sa pod paľbu a pár krát v v posledných rokoch (a, ehm, včera) pre početné zraniteľnosti, čo vyvoláva otázky o jeho bezpečnosti. Odborníci varujú, že pri pripájaní viacerých zariadení k akejkoľvek šifrovanej komunikačnej aplikácii môžu nastať kompromisy.

„[Otázka] nie je len pridávanie ďalších zariadení, ale sú vždy bezpečné?

Steven M. Bellovin, profesor informatiky na Kolumbijskej univerzite, povedal Lifewire v telefonickom rozhovore. „Bezpečnostná fráza je ‚útočná plocha‘ – na koľkých miestach vás možno napadnúť a koľkými rôznymi spôsobmi?

Technicky bezpečné

Podľa Bellovina jeden z najnáročnejších problémov, ktoré je potrebné riešiť v súvislosti so zabezpečením viacerých zariadení pod jedným účtom, začína základnými základmi šifrovania.

„Všetko šifrovanie závisí od tajného kľúča,“ povedal Bellovin a porovnal šifrovacie kľúče s kľúčmi od auta, ktoré dokážu naštartovať iba auto, ku ktorému patria. „Každý človek musí mať svoje. Preto to môžete čítať vy a nikto iný nie."

Pretože každá aplikácia, ktorá sa spolieha na end-to-end šifrovanie (E2EE), používa špecifický protokol založený na základných princípoch manipulácie s kľúčmi a menného priestoru (ten je zvyčajne telefónne číslo používateľa), Bellovin povedal, že výzvou je nájsť spôsob, ako bezpečne presúvať kľúče a overovať vlastníkov na viacerých zariadeniach – niečo, čo povedal, „nie je jednoduché otázka."

Kľúče od Kráľovstva

Rovnako ako jeho konkurenti, WhatsApp už umožňuje používateľom prihlásiť sa na počítači, pokiaľ sú prihlásení aj do smartfónu spojeného s ich kľúčom (spoločnosť hovorí, že potom odzrkadľuje účet). V beta systéme však bude mať každé synchronizované zariadenie svoj vlastný kľúč, ktorý používateľom umožní prihlásiť sa do štyroch ďalších zariadení bez telefónu.

„[Otázka] nie je len pridávanie ďalších zariadení, ale sú vždy bezpečné?

„E2EE bežne používa jeden šifrovací kľúč na používateľa, ktorý potrebuje skopírovať kľúč do každého zariadenia, ktoré chce použiť... Preto WhatsApp, doteraz podporovala iba jedno zariadenie – pretože je ťažké udržať tento šifrovací kľúč v bezpečí a zároveň ho presúvať do viacerých zariadenia,“ John S. Koh, bezpečnostný výskumník, ktorého práca sa zamerala na prístup E2EE pre viacero zariadení nazývaný kľúče pre jednotlivé zariadenia (PDK), povedal Lifewire v e-maile.

„S PDK, namiesto toho, aby používatelia mali iba jeden šifrovací kľúč, má každé zariadenie používateľa svoj vlastný šifrovací kľúč. Zdá sa, že WhatsApp preberá tento koncept a hovorí o kľúčoch zariadenia ako o ‚kľúčoch identity‘,“ povedal Koh. „Jednou z výhod E2EE na viacerých zariadeniach využívajúcich môj prístup a pravdepodobne aj prístup WhatApp, ktorý sa spolieha na jeden kľúč na zariadenie, je, že model používania je pre používateľov oveľa ľahšie pochopiteľný. Kompromisom je okrajový prípad, keď používatelia stratia svoje zariadenia a potrebujú k nemu odstrániť prístup, čo môže byť niekedy namáhavý proces.“

Viac zariadení, rovnaké riešenia

"Odpoveď na to, či je niečo bezpečné, vždy začína ďalšou otázkou, ktorá znie: Aké sú vaše potreby?" Maritza Johnsonová, expert na bezpečnosť a súkromie a riaditeľ centra na University of San Diego, povedal Lifewire v telefonickom rozhovore.

Facebook uviedol, že na riešenie individuálnych bezpečnostných potrieb blogový príspevok WhatsApp plánuje ponúknuť možnosť zobraziť všetky zariadenia prepojené s účtom, zistiť, kedy boli naposledy použité, a odhláste sa na diaľku – niečo, čo Johnson povedal, je dôležité, najmä pre obete zneužívania zo strany partnera, ktoré niekedy sú ciele kybernetického prenasledovania.

muž pomocou mobilného telefónu prehliadania internetu, pracujúci cez prenosný počítač na stole v domácej kancelárii — Tippapatt / Getty Images

„Nechcete, aby telefón vášho bývalého priateľa dostával kópiu všetkého a vy neviete, alebo neviete, ako ho vypnúť,“ povedal Johnson. "Je to osobné rozhodnutie, ak sa chcete prihlásiť do svojho účtu WhatsApp na zdieľanom zariadení a premyslieť si, aké by to malo dôsledky."

Johnson tiež zdôraznil, že je dôležité zabezpečiť, aby bolo každé prepojené zariadenie chránené heslom, aby k nemu fyzicky nepristupoval niekto iný – čo najsilnejšie šifrovanie nedokáže ochrániť.

„Akýkoľvek laptop, tablet alebo iné zariadenie, ktoré používate s rovnakým účtom, si budete chcieť byť istí, že mať rovnakú základnú úroveň zabezpečenia na všetkých z nich... aby niekto nemohol otvoriť len potiahnutím prstom,“ povedal Johnson.