Aktualizácia: WhatsApp poskytol nasledujúcu odpoveď:
„The Guardian zverejnil svoje ráno správu, v ktorej tvrdil, že ide o zámerné rozhodnutie o dizajne v WhatsApp, ktoré bráni Ľudia zo straty miliónov správ sú „zadné vrátka“, ktoré vládam umožňujú prinútiť WhatsApp dešifrovať správu tokov. Toto tvrdenie je nepravdivé.
WhatsApp nedáva vládam „zadné vrátka“ do svojich systémov a bude bojovať proti akejkoľvek vládnej žiadosti o vytvorenie zadných vrátok. Rozhodnutie o dizajne, na ktoré odkazuje príbeh Guardian, zabraňuje strate miliónov správ a WhatsApp ponúka ľuďom bezpečnostné upozornenia, aby ich upozornil na potenciálne bezpečnostné riziká. WhatsApp zverejnil a technický biely papier na jeho dizajne šifrovania a bol transparentný, pokiaľ ide o vládne požiadavky, ktoré dostáva, pričom údaje o týchto žiadostiach zverejňuje v Správa Facebookových vládnych žiadostí.“
Pôvodný príbeh pokračuje nižšie.
–
WhatsApp má zadné vrátka, ktoré by mohli Facebooku umožniť zachytávať a čítať zašifrované správy.
Vyplýva to zo správy v The Guardian, ktorý tvrdí spôsob, akým WhatsApp implementoval svoj end-to-end šifrovací protokol, umožňuje spoločnosti prístup k súkromným správam, aspoň teoreticky.
Ako sa vysvetľuje v správe, šifrovanie WhatsApp „sa spolieha na generovanie jedinečných bezpečnostných kľúčov“ vytvorených pomocou protokolu Open Whisper Systems Signal. Tieto jedinečné kľúče sa medzi používateľmi obchodujú a overujú, aby sa zabezpečilo, že komunikačné linky sú zabezpečené pred sprostredkovateľmi.
Zatiaľ je všetko dobré. Ukázalo sa však, že WhatsApp má tiež schopnosť automaticky znova odosielať nedoručené správy, čím si vynúti generovanie nových šifrovacích kľúčov bez vedomia príjemcu (odosielateľ je po opätovnom odoslaní správy upozornený iba v prípade, že používateľ aktivoval upozornenia na šifrovanie v nastavenie). Rozhodujúce je, že toto opätovné šifrovanie by mohlo umožniť WhatsApp alebo inej strane generovať známe kľúče, ktoré by im umožnili zachytiť a prečítať správu.
Toto nastavenie nie je natívne pre protokol Signal, ktorý nedokáže doručiť správu, ak bol bezpečnostný kľúč zmenený v režime offline. Namiesto toho je zraniteľnosť spôsobená implementáciou protokolu WhatsApp, ktorý automaticky znova odošle nedoručenú správu s novým kľúčom.
Tobias Boelter, bezpečnostný výskumník z Kalifornskej univerzity v Berkeley, objavil zraniteľnosť a v roku 2016 ju nahlásil vlastníkom WhatsApp, Facebooku. Neskôr mu povedali, že to bolo „očakávané správanie“ a The Guardian sa podarilo overiť, že zadné vrátka stále existujú.
„Ak vládna agentúra požiada WhatsApp, aby zverejnil svoje záznamy o správach, môže efektívne udeliť prístup vďaka zmene kľúčov,“ povedal Boelter. The Guardian.
Pozri súvisiace
Zadné vrátka overil aj Steffen Tor Jensen, šéf informačnej bezpečnosti a digitálneho kontrasledovania v Európsko-bahrajnskej organizácii pre ľudské práva. „WhatsApp môže efektívne pokračovať v prepínaní bezpečnostných kľúčov, keď sú zariadenia offline, a v opätovnom odosielaní správy bez toho informovanie používateľov o zmene až po jej vykonaní, čo predstavuje mimoriadne neistú platformu,“ povedal pre noviny.
Predpokladaná pozornosť WhatsApp voči informačnej bezpečnosti z neho urobila platformu pre disidentov, novinárov a diplomatov. Obhajcovia ochrany osobných údajov zatratili toto odhalenie údajných zadných vrátok, vrátane profesorky Kirstie Ballovej, spoluriaditeľky a zakladateľky Centrum pre výskum informácií, dohľadu a súkromia, podľa ktorého je zraniteľnosť „obrovskou hrozbou pre slobodu reč“.
„Ak používate WhatsApp, aby ste sa vyhli vládnemu dohľadu, prestaňte teraz,“ napísal na Twitteri The Guardians Samuel Gibbs.
„Mať bezpečnostné zadné vrátka, ktoré núti generovanie nových šifrovacích kľúčov, je dosť zlé. Ale neupozorniť príjemcu na túto zmenu je vysoko neetické,“ povedal Jacob Ginsberg, svrchný riaditeľ spoločnosti Echoworx v oblasti šifrovacieho softvéru. „Jat spochybňuje bezpečnosť, súkromie a dôveryhodnosť celej služby a podnikania. Fakt, že Facebook o tejto zraniteľnosti vie už od apríla, je dvojnásobný. Mnohí to nielenže môžu vnímať ako podporu prebiehajúcich zásahov vládneho zhromažďovania údajov, ale znamená to, že ich rozhovory o šifrovaní a súkromí neboli ničím iným, než len slovnou službou. Spoločnosť musí aktívne riešiť svoje bezpečnostné opatrenia.“
