WhatsApp后門允許黑客攔截并讀取你的加密信息
大多數人認為,端到端加密是保護秘密通信不受窺探的最終方法,確實如此,但如果沒有正確實施,它可以被攔截。
在介紹之后“默認情況下,端到端加密“去年,WhatsApp已經成為世界上最大的安全通訊平臺,在全球擁有超過10億用戶。
但是,如果你認為你的對話是完全安全的,沒有人,甚至連擁有WhatsApp的公司Facebook都不能攔截你的信息,那么你就大錯特錯了,就像我們大多數人一樣,這不是一個新概念。
這里是關鍵:端到端加密消息服務,如WhatsApp和Telegram,包含一個后門,如果必要,公司、當然還有黑客或情報機構可以使用它來攔截和讀取您的端到端加密消息,而這一切都不會破壞加密。
毫無疑問,大多數加密消息服務都會在您的設備上離線生成和存儲私鑰,并且只通過公司的服務器向其他用戶廣播公鑰。
比如,在WhatsApp的案例中,我們必須相信該公司不會改變發送方和接收方之間的公鑰交換機制,從而對窺探您加密的私人通信進行中間人攻擊。
來自加利福尼亞大學的安全研究員Tobias Boelter報告說,WhatsApp的基于信號協議的端到端加密已經被實現,如果WhatsApp或任何黑客通過利用基于信任的密鑰交換機制攔截聊天。您永遠不會知道加密密鑰是否在后臺發生了任何更改。是的,這是可能的。
讓我們用一個簡單的場景來理解后門:
假設用戶A和B想要聊天,WhatsApp已經通過其服務器自動交換了他們的公鑰。
現在,從用戶A發送的每條消息都將使用A的私鑰和B的公鑰進行加密,這兩個密鑰只能由用戶B使用A的公鑰和B的私鑰進行解密。
假設:用戶B處于脫機狀態,用戶A向用戶B發送了一些消息。但同時,由于某種原因,用戶B不得不更改設備并在其上重新配置相同的Whatsapp帳戶。新安裝將迫使用戶B為同一帳戶重新生成新的公鑰和私鑰對。
之后,每當用戶B再次聯機時,設備將接收A發送的其余未送達消息。
但是用戶B如何解密應該使用舊公鑰B加密的消息呢?
這是因為,當用戶B再次聯機時,Whatsapp會自動與用戶交換新密鑰,而無需通知他們,為了成功傳遞相同的消息,A的Whatsapp將使用新收到的B公鑰對其重新加密。
這就是后門在整個機制中所依賴的地方!
如果黑客(假設用戶C)故意用自己的公鑰替換B的公鑰,所有未傳遞的消息將自動重新加密并傳遞給C,而C只能由用戶C(黑客)的私鑰解密。
眾所周知,可用性和安全性是成反比的,選擇可用性而不是安全性的結果并不好。“WhatsApp在信號協議中實現了一個后門,使其能夠強制為離線用戶生成新的加密密鑰,并使發送方使用新密鑰重新加密消息,并再次發送未標記為已發送的消息。接收方不知道加密的這一變化。《衛報》報道。
但是,只有在以下情況下,用戶才能在安全代碼更改時收到通知:安全通知“選項已從應用程序設置手動打開。與此同時,OpenWhisper Systems的iOS開發者弗雷德里克·雅各布斯(Fredric Jacobs)也在twitter上做出了回應,并承認如果你不驗證按鍵信號/WhatsApp/...中間人能幫你溝通嗎,“不過他也補充道這件事被當作一個后門,真是荒謬。如果不驗證密鑰,則無法保證密鑰的真實性。眾所周知的事實。"
請注意,這個后門與開放式耳語系統創建的信號加密協議無關。如果實施正確,它是最安全的加密協議之一。
自2016年6月以來,Facebook一直沒有修復它
Boelter告訴《衛報》,他在2016年4月向Facebook報告了這個后門——當時WhatsApp在其消息應用程序中默認實施端到端加密。
然而,研究人員在回復中被告知,Facebook已經意識到了這一問題,并證明這是一個“錯誤”預期行為."“WhatsApp表示,它實施了后門以提高可用性。如果后門不到位,發送給離線用戶的消息,在用戶重新上線后,這些用戶會更改智能手機或重新安裝WhatsApp,并由此為自己生成新的安全密鑰,但這些消息仍將無法送達。”衛報說。“在世界許多地方,人們經常更換設備和Sim卡。在這種情況下,我們希望確保人們的信息在傳輸過程中得到傳遞,而不是丟失。”WhatsApp發言人告訴《衛報》。
是的,WhatsApp仍然存在后門。
如何保護自己免受間諜活動?
為了防止MITM攻擊的可能性,WhatsApp還在其應用程序中提供了第三個安全層,您可以通過掃描二維碼來驗證與您通信的其他用戶的密鑰(缺點:需要有人在場)或者通過另一種通信方式比較60位數字。"安全代碼只是你們之間共享的特殊密鑰的可見版本——別擔心,它不是真正的密鑰本身,總是保密的。"
然而,只有當你正在積極尋找驗證會話密鑰的真實性時,這個選項才有用。我們知道,數以千計的偏執狂用戶中只有一個會這樣做。
Whatsapp的安全替代品
哦你一定在想;那么,哪種安全消息服務可以針對這種破壞信任和攔截提供保護?
有幾種替代方案,例如“信號私人信使“,由Open Whisper Systems開發,是最受推薦的安全消息應用程序。
