Scandal urias pentru compania Facebook. O bresa de securitate permite citirea mesajelor criptate de pe Whatsapp
O bresa de securitate poate fi utilizata pentru a permite companiei Facebook sa intercepteze si sa citeasca mesajele criptate care sunt publicate de utilizatorii aplicatiei de mesagerie instantanee WhatsApp.
Compania Facebook sustine ca nimeni nu poate sa intercepteze mesajele de pe WhatsApp, nici macar ea insasi sau angajatii ei, asigurand astfel confidentialitatea celor peste 1 miliard de utilizatori ai acestui serviciu de mesagerie instantanee.
Un studiu recent a demonstrat insa faptul ca, in realitate, firma americana poate sa citeasca acele mesaje datorita felului in care WhatsApp a implementat protocolul sau de criptare totala a datelor, informeaza The Guardian, citat de News.ro
Aparatorii dreptului la intimitate spun ca aceasta vulnerabilitate reprezinta ”o amenintare uriasa la adresa libertatii cuvantului” si a avertizat ca bresa ar putea fi folosita de agentii guvernamentale pentru a spiona utilizatorii WhatsApp, care traiesc cu iluzia ca mesajele lor sunt ”securizate 100%”.
Aplicatia WhatsApp a facut din confidentialitatea utilizatorilor si securizarea completa a mesajelor acestora principalul ei atuu de comercializare. In ultimii ani, acest serviciu a devenit mediul preferat de comunicare online folosit de activisti, disidenti si diplomati.
Criptarea totala a mesajelor publicate pe WhatsApp se bazeaza pe generarea unor coduri de securitate unice, folosind mult laudatul protocol Signal, dezvoltat de Open Whisper Systems, care sunt schimbate si verificate intre utilizatori, pentru a garanta faptul ca discutiile sunt securizate si ca nu pot fi interceptate de catre terti.
Totusi, WhatsApp dispune de abilitatea de a ”forta” generarea unor noi coduri de criptare pentru utilizatorii offline, necunoscuti de expeditorii si destinatarii mesajelor, si de a-l face pe expeditor sa recripteze mesajele cu noi coduri, pentru a le trimite apoi din nou - aceasta bresa e valabila in cazul acelor mesaje care nu au fost marcate ca fiind expediate.
Destinatarul nu este constient de aceasta schimbare a criptarii, in timp ce expeditorul este doar notificat - daca a bifat optiunea de avertizare in cazul unei recriptari - si doar dupa ce mesajul a fost reexpediat. Aceasta recriptare si aceasta retransmitere permit in mod efectiv serviciului WhatsApp sa intercepteze si sa citeasca mesajele utilizatorilor.
Bresa de securitate a fost descoperita de Tobias Boelter, un expert in criptare si securitate cibernetica din cadrul Universitatii California, Berkeley.
”Daca reprezentantii WhatsApp sunt somati de agentiile guvernamentale sa dezvaluie inregistrarile cu mesajele utilizatorilor, acest serviciu poate intr-adevar sa ofere acces, din cauza schimbarii codurilor de securitate”, a spus el.
Bresa de securitate nu este insa inerenta protocolului Signal. Aplicatia de mesagerie instantanee dezvoltata de Open Whisper Systems, Signal, folosita si recomandata de Edward Snowden, nu este afectata de aceasta vulnerabilitate. Daca un destinatar isi schimba codurile de securitate in timp ce este offline, de exemplu, un mesaj ce i-a fost trimis de un alt utilizator nu va putea sa ii parvina, iar expeditorul va fi notificat in legatura cu schimbarea codurilor de criptare, fara ca acel mesaj sa fie reexpediat in mod automat.
Modul in care este construita aplicatia WhatsApp determina reexpedierea automata a unui mesaj ramas nelivrat, folosind o noua cheie de criptare, fara avertizarea in prealabil a utilizatorului si fara a-i oferi acestuia posibilitatea de a preveni o astfel de situatie.
Ingrijorarile generate de confidentialitatea utilizatorilor WhatsApp au fost subliniate de mai multe ori dupa ce Facebook a achizitionat acest serviciu in anul 2014 contra sumei de 22 de miliarde de dolari. In august 2015, Facebook a anuntat o modificare a politicii sale de confidentialitate aplicabila serviciului WhatsApp, pentru a permite retelei de socializare sa comaseze datele utilizatorilor de WhatsApp cu cele ale utilizatorilor de Facebook, inclusiv numerele de telefon si tiparele de folosire a aplicatiei, in scopuri publicitare si de dezvoltare.
Facebook a oprit insa folosirea datelor partajate in scopuri publicitare in noiembrie, in urma presiunilor facute de Article 29 Working Party, o agentie paneuropeana ce militeaza pentru protejarea datelor confidentiale ale internautilor. Comisia Europeana a depus apoi o plangere impotriva Facebook, pentru a preveni furnizarea de informatii ”inselatoare” in urma achizitionarii de catre reteaua de socializare a serviciului de mesagerie instantanee WhatsApp, dupa comasarea datelor utilizatorilor.