Elolvashatók a WhatsApp titkos üzenetei

2017.01.19. 16:54

Egy kriptográfus fedezte fel, hogy a WhatsApp sajátosan használja a végpontig terjedő titkosítást, így egy olyan kiskaput hagy, amelyen keresztül akár a titkosszolgálatok is hozzáférhetnek a felhasználók üzeneteihez. A privátszféra mellett kampányolók szerint ez fenyegetést jelent a szólásszabadságra, ám ennél is súlyosabb, hogy a cég visszaélt a felhasználók bizalmával, holott teljes biztonságot ígért.

A Facebook által felvásárolt WhatsApp csevegőjében egy olyan sebezhetőséget fedeztek fel, amelyen keresztül az anyacég, vagy akár a hírszerző szervek is hozzáférhetnek a felhasználók titkosított üzeneteihez. A közösségi óriás eddig váltig állította: a teljes titkosításnak köszönhetően senki nem tudja azokat elolvasni, még maga a cég és alkalmazottai sem.

A titkosítás azután vált kiemelten fontossá egy felhasználói réteg számára, miután Snowden kiszivárogtatta az amerikai és brit titkosszolgálatok lehallgatási módszereit.

A felhasználók megbízható platformokra kezdtek vágyni, ezért a legtöbb szolgáltatás elkezdett teljes titkosítást alkalmazni. Különösen a Telegram és a Signal vált ismertté biztonságáról, később pedig titkosítani kezdtek a Viber, a Messenger, és a WhatsApp csevegőkön belül is.

Visszaéltek a felhasználók bizalmávalForrás: AFP/Stan Honda

A legbiztonságosabb appnak hitték

Ennél is fájóbb pont, hogy az Amnesty International jogvédő szervezet tavaly kiadott egy listát az általa legbiztonságosabbnak tartott, felhasználók üzeneteit titkosító csevegőalkalmazásokról. Akkor első helyen végzett a Facebook két szolgáltatása, a Messenger és a WhatsApp, ennek fényében még inkább ironikus a kiskapu létezése.

Bár már a lista megjelenésekor is sokan szkeptikusak voltak a rangsorolással szemben, elvégre mégis a Facebook óriáscég által birtokolt szolgáltatásról van szó, ami a felhasználóiról gyűjtött adatokból él. 

A felhasználók már akkor is aggódtak az adataik miatt, amikor a Facebook bejelentette, hogy felvásárolja a csevegőt.

A teljes rangsorForrás: Amnesty International

A kihasználható kiskapu híre pedig ismét bizonyítja, hogy ez az egészséges gyanakvás nem volt alaptalan. Bár a csevegőóriás teljes biztonságot ígért, egy ponton mégis elbukik az – magyarázatuk szerint szándékosan, méghozzá a felhasználók miatt.

Sajátosan használták fel

A rést a Berkeley Egyetem kiberbiztonsági szakembere és kriptográfusa, Tobias Boelter fedezte fel, aki a Facebookot már 2016 ápriliában értesítette észrevételéről.

A Guardian kérdésére a szakember elárulta, hogy ha a WhatsAppot a kormány arra kérné, hogy adjon át üzeneteket, azt megtudná tenni. Holott a titkosítás lényege épp az lenne, hogy akarattal se tudják kikérni az üzeneteket, mert az technikailag nem kivitelezhető.

A WhatsApp által is alkalmazott végpontig terjedő titkosításnak valóban védelmet kéne nyújtania, a WhatsApp viszont egyedi módon implementálta azt.

A WhatsApp kicsit másként használja a protokollt, mint a többi valóban titkosító csevegőForrás: dpa Picture-Alliance/AFP/Armin Weigel

A  WhatsApp az Open Whisper Systems Signal nevű protokollját használja a titkosításhoz. Mindenképpen hozzá kell tenni, hogy

a sérülékenység nem a Signal protokoll alapvető velejárója, csak a WhatsApp implementálta azt kicsit másképp. A Signal azonos nevű csevegőjét nem mellesleg Edward Snowden is ajánlja és bevallása szerint maga is használja.

A végponttól végpontig terjedő (end-to-end) titkosítás lényege, hogy a felhasználóknak két kulcs kell az üzenetváltáshoz, egy privát és egy publikus. Üzenet küldésekor a küldő elkéri a címzett nyilvános kulcsát a szolgáltatás szerverétől, ezt használva küldi el az üzenetet.

Hogy a címzett azt el tudja olvasni, kell neki egy privát kulcs, ami csak és kizárólag az ő telefonján található.

Ezzel tudja visszafejteni az üzenetet.

A Facebook miatt aggódtak a WhatsApp felhasználóiForrás: Origo

A WhatsApp esetében viszont ez másképp történik: a csevegő az offline felhasználók esetében egy új titkosító kulcsot generál az üzenet kódolásához.

Ha a címzett nem elérhető (mondjuk új készüléket vásárolt, vagy éppen nem éri el az alkalmazást), akkor a küldő üzeneteit egy újonnan generált kóddal lehet kódolni, majd azt megint kiküldeni. Ebben a folyamatban pedig könnyen el lehet fogni a felhasználó üzeneteit, azt megteheti a cég vagy a hírszerzők.

Alapvető esetben a felhasználónak értesítést kellene kapnia arról, hogy a címzett eszközének kulcsa megváltozott, azaz nem biztos a személyazonossága.

A felhasználók miatt van

A kriptográfus hiába értesítette a Facebookot már tavaly áprilisban a kihasználható résről, a cég válasza szerint tudott arról, és nem dolgoznak annak megváltoztatásán.

A WhatsApp szóvivője annyit reagált Guardian megkeresésére, hogy van lehetőség arra, hogy a felhasználó értesítést kapjon a WhatsAppban, ha a címzett biztonsági kódja megváltozott. Ezt a fiókbeállításai közt kapcsolhatja be.

A kulcskezelésre azt válaszolták: az a felhasználók javát szolgálja. Ezzel a kulcsgenerálással akkor is megérkezik a címzett számára az üzenet, ha eszközt vált, másképp elveszne útközben.

Azon kérdésre, hogy volt-e már olyan eset, amikor adatigénylésre vonatkozó kormányzati kérelmet teljesítettek, azt közölte a cég, hogy nem biztosít hátsó ajtót a kormánynak, és elutasítja az erre vonatkozó kéréseket.

KAPCSOLÓDÓ CIKKEK