Експерти кажуть, що зашифровані повідомлення на кількох пристроях можуть підвищити ризики

December 02, 2021
ВНовини Інтернет і безпека

Ключові речі на винос

WhatsApp проводить бета-тестування можливостей кількох пристроїв з невеликою групою користувачів.
Нова функція дозволить користувачам синхронізувати спілкування між чотирма додатковими пристроями.
Експерти кажуть, що під час спілкування між пристроями, навіть якщо вони зашифровані, можуть бути компроміси з конфіденційністю.

ручна робота з мобільного телефону та портативного комп'ютера з цифровою технологією — Бусакорн Понгпарніт / Getty Images

Після липневого оголошення про це можливість використання кількох пристроїв була в бета-версії, користувачі WhatsApp раділи ідеї можливості входити в систему на кількох пристроях. Але чи принесе додаткова зручність компроміси для конфіденційності? Ось що вам потрібно знати.

Незважаючи на її відомий протокол шифрування, популярний додаток для обміну повідомленнями потрапити під обстріл а кілька разів в В останні роки (і, е, вчора) за численні вразливості, що викликає питання щодо його безпеки. Експерти попереджають, що під час підключення кількох пристроїв до будь-якої програми для зашифрованого зв’язку можуть виникнути компроміси.

«[Питання] полягає не просто в додаванні додаткових пристроїв, а в тому, чи завжди вони безпечні?» Стівен М. Белловін, професор інформатики Колумбійського університету, сказав Lifewire в телефонному інтерв'ю. «Фраза безпеки — «поверхня атаки» — у скількох місцях можна атакувати і скількома різними способами?»

Технічно безпечний

За словами Белловіна, одна з найскладніших проблем захисту кількох пристроїв під одним обліковим записом починається з базових основ шифрування.

«Все шифрування залежить від секретного ключа», – сказав Белловін, порівнюючи ключі шифрування з ключами від автомобіля, які можуть запустити лише автомобіль, якому вони належать. «У кожної людини має бути своє. Ось чому ти можеш читати це, а ніхто інший не може».

Оскільки кожна програма, яка покладається на наскрізне шифрування (E2EE), використовує певний протокол, заснований на основних принципах обробки ключів і простору імен (останній зазвичай номер телефону користувача), Белловін сказав, що проблема полягає в тому, щоб знайти спосіб безпечного переміщення ключів і аутентифікації власників на кількох пристроях, що, за його словами, «непросто». питання».

Ключі від королівства

Як і його конкуренти, WhatsApp вже дозволяє користувачам входити в систему на комп’ютері, якщо вони також увійшли в смартфон, пов’язаний з їхнім ключем (компанія каже, що потім відображається обліковий запис). Однак у бета-версії кожен синхронізований пристрій матиме власний ключ, що дозволить користувачам входити на чотири додаткові пристрої без телефону.

«[Питання] полягає не просто в додаванні додаткових пристроїв, а в тому, чи завжди вони безпечні?»

«E2EE зазвичай використовує один ключ шифрування для кожного користувача, якому потрібно скопіювати ключ на кожен пристрій, який вони хочуть використовувати… Ось чому WhatsApp, до цих пір підтримувала лише один пристрій, тому що важко зберегти цей ключ шифрування в безпеці, переміщуючи його на кілька пристрої", Джон С. Кох, дослідник безпеки, чия робота зосереджена на підході E2EE для кількох пристроїв, який називається ключами для кожного пристрою (PDK), повідомив Lifewire в електронному листі.

«З PDK замість того, щоб користувачі мали лише один ключ шифрування, кожен із пристроїв користувача має свій власний ключ шифрування. Здається, WhatsApp використовує цю концепцію і називає ключі пристрою «ключами ідентифікації», — сказав Ко. «Одна з переваг E2EE на кількох пристроях, які використовують мій і, мабуть, WhatApp, підхід, який покладається на один ключ на пристрій, полягає в тому, що модель використання набагато легше зрозуміти користувачам. Компромісом є крайній випадок, коли користувачі втрачають свої пристрої та потребують скасування доступу до них, що іноді може бути трудомістким процесом».

Більше пристроїв, ті самі рішення

«Відповідь на те, чи є щось безпечне, завжди починається з іншого питання, яке звучить так: «Які ваші потреби?» Маріца Джонсон, експерт із безпеки та конфіденційності та директор центру в Університеті Сан-Дієго, сказав Lifewire в телефонному інтерв’ю.

Для задоволення індивідуальних потреб безпеки, повідомляє Facebook допис у блозі що WhatsApp планує запропонувати можливість перегляду всіх пристроїв, пов’язаних з обліковим записом, перегляду, коли вони востаннє використовувалися, і вийти віддалено — те, що, за словами Джонсона, є важливим, особливо для жертв зловживання партнером, які іноді бувають цілі кіберпереслідування.

людина за допомогою мобільного телефону, переглядаючи Інтернет, працюючи через портативний комп'ютер на столі в домашньому офісі — Tippapatt / Getty Images

«Ви не хочете, щоб телефон вашого колишнього хлопця отримував копію всього, і ви не знаєте, або ви не знаєте, як його вимкнути», — сказав Джонсон. «Це особисте рішення, якщо ви хочете увійти у свій обліковий запис WhatsApp на спільному пристрої та подумати, які наслідки це матиме».

Джонсон також наголосив на важливості переконатися, що кожен пов’язаний пристрій захищений паролем, щоб уникнути фізичного доступу до нього — від чого не може захистити найсильніше шифрування.

"Будь-який ноутбук, планшет або інший пристрій, який ви використовуєте з тим самим обліковим записом, ви хочете переконатися, що ви мають однаковий базовий рівень безпеки для всіх… щоб хтось не міг просто провести пальцем, щоб відкрити», — сказав Джонсон.