Експерти кажу да шифроване поруке на више уређаја могу повећати ризик

December 02, 2021
УВести Интернет и безбедност

Кључне Такеаваис

ВхатсАпп је бета тестирање могућности више уређаја са малом групом корисника.
Нова функција ће омогућити корисницима да синхронизују комуникацију на четири додатна уређаја.
Стручњаци кажу да би могло доћи до компромиса у вези са приватношћу када се комуницира преко уређаја, чак и када су шифровани.

ручни рад са мобилним телефоном и лаптоп рачунаром са технологијом дигиталне графике — Бусакорн Понгпарнит / Гетти Имагес

Након своје јулске објаве да могућности више уређаја биле су у бета верзији, корисници ВхатсАпп-а су се радовали идеји да могу да се пријаве на неколико уређаја. Али да ли ће додатна погодност доћи са компромисима за приватност? Ево шта треба да знате.

Упркос свом признати протокол за шифровање, популарна апликација за размену порука има доћи под ватру а Неколико пута ин последњих година (и, овај, јуче) за бројне рањивости, што доводи до питања његове безбедности. Стручњаци упозоравају да такође може доћи до компромиса приликом повезивања више уређаја са било којом шифрованом комуникацијском апликацијом.

„[Питање] није само додавање више уређаја, већ да ли су они увек безбедни?“

Стевен М. Белловин, професор рачунарства на Универзитету Колумбија, рекао је за Лифевире у телефонском интервјуу. „Безбедносна фраза је „површина напада“—на колико места можете бити нападнути и на колико различитих начина?“

Технички безбедно

Према Белловину, једно од изазовнијих питања о обезбеђивању више уређаја под једним налогом почиње са основним основама шифровања.

„Сва енкрипција зависи од тајног кључа“, рекао је Беловин, упоређујући кључеве за шифровање са кључевима аутомобила који могу да покрену само аутомобил коме припадају. „Свака особа мора да има своје. Зато га можете читати, а нико други не може."

Зато што свака апликација која се ослања на енд-то-енд енкрипцију (Е2ЕЕ) користи одређени протокол заснован на основним принципима руковања кључевима и простора имена (потоњи је обично телефонски број корисника), Белловин је рекао да је изазов проналажење начина за безбедно премјештање кључева и аутентификацију власника на више уређаја – нешто што је рекао „није лако питање."

Кључеви краљевства

Као и његови конкуренти, ВхатсАпп већ омогућава корисницима да се пријаве на рачунар све док су такође пријављени на паметни телефон који је повезан са њиховим кључем (компанија каже да онда пресликава налог). У оквиру бета система, међутим, сваки синхронизовани уређај ће имати свој кључ – омогућавајући корисницима да се пријаве на четири додатна уређаја без телефона.

„[Питање] није само додавање више уређаја, већ да ли су они увек безбедни?“

„Е2ЕЕ обично користи један кључ за шифровање по кориснику, који треба да копира кључ на сваки уређај који жели да користи… Зато је ВхатсАпп, до сада је подржавао само један уређај — јер је тешко чувати тај кључ за шифровање безбедним и безбедним док га пребацујете на више уређаји", Џон С. Кох, истраживач безбедности чији се рад фокусира на Е2ЕЕ приступ на више уређаја који се зове кључеви по уређају (ПДК), рекао је за Лифевире у е-поруци.

„Са ПДК-ом, уместо да корисници имају само један кључ за шифровање, сваки од уређаја корисника има сопствени кључ за шифровање. Чини се да ВхатсАпп узима овај концепт и означава кључеве уређаја као 'кључеве идентитета'", рекао је Кох. „Једна од предности Е2ЕЕ на више уређаја који користе мој, а вероватно и ВхатАпп приступ који се ослања на један кључ по уређају, јесте да је модел коришћења много лакши за разумевање за кориснике. Компромис је крајњи случај да корисници губе своје уређаје и морају да уклоне њихов приступ, што би понекад могао бити напоран процес."

Више уређаја, иста решења

„Одговор на питање да ли је нешто безбедно увек почиње другим питањем, а то је „Које су ваше потребе?“ Марица Џонсон, стручњак за безбедност и приватност и директор центра на Универзитету у Сан Дијегу, рекао је за Лифевире у телефонском интервјуу.

Како би се задовољиле индивидуалне безбедносне потребе, саопштио је Фејсбук пост на блогу да ВхатсАпп планира да понуди могућност прегледа свих уређаја повезаних са налогом, да види када су последњи пут коришћени, и одјавите се на даљину – нешто што је Џонсон рекао да је важно, посебно за жртве злостављања партнера које су понекад мете сајбер ухођења.

човек који користи мобилни телефон и прегледа интернет, ради преко лаптоп рачунара на столу у кућној канцеларији — Типпапатт / Гетти Имагес

„Не желите да телефон вашег бившег дечка добија копију свега, а не знате, или не знате како да га искључите“, рекао је Џонсон. "То је лична одлука, ако желите да се пријавите на свој ВхатсАпп налог на заједничком уређају и размислите о томе какве би импликације то могло бити."

Џонсон је такође нагласио важност да сваки повезани уређај буде заштићен лозинком како би се избегао да му неко други физички приступи – нешто од чега најјача енкрипција не може да заштити.

„Било који лаптоп, таблет или други уређај који користите са истим налогом, желећете да будете сигурни да имају исти основни ниво безбедности за све њих… тако да неко не може само да превуче прстом да би отворио“, рекао је Џонсон.