משתמשים בווטסאפ או טלגרם? פרסומים אחרונים מטילים ספק בהצפנה שלהם

פרסום באתר motherboard.vice.com טוען שההצפנה של תוכנת המסרים הפופולארית טלגרם, פוצחה על ידי שירות הביון הרוסי - ה-FSB.

טלגרם פותחה על ידי Pavel Durov והפכה חלופה לווטסאפ או סיגנל. בעיקר במדינות כמו איראן ורוסיה. והמשטר במדינות אלו עבד קשה להבין מה קורה בצ'אטים בתוכנות אלו. בעבר איראן כבר הוכיחה שהיא יודעת לפצח את ההצפנה שלה.

"אני באופן אישי חושב שהדו"ח מזויף," דורוב אמר לאתר במברק. "אבל אם זה לא, זה כנראה מתייחס לסיפור על יירוט SMS על ידי FSB באפריל 2016." באותו אירוע, הביון הרוסי לא פיצח את ההצפנה של טלגרם, אלא השתלט על החשבון של החשודים. הסבר כאן.

הטענה כלפי טלגרם צפה בדו"ח שפרסם איש MI6 לשעבר בדבר הקשרים לכאורה של טראמפ עם רוסיה. 

אין 'דלת אחורית' בווטסאפ. יש בעיה מובנית ביישום ההצפנה

פרסום של חוקר בשם Tobias Boelter באתר הגארדיאן, חשף בעיה מובנית ביישום ההצפנה בתוכנת ווטסאפ. הכותרת של הפרסום המקורי טענה שמדובר בדלת אחורית בפרוטוקול. בתגובה אמרו ב-whispersystems שאין דלת אחורית, אלא שמדובר בבעיה מובנית ביישום פרוטוקול ההצפנה של סיגנל בווטסאפ. בפרסום עוקב מסביר החוקר את הבעיה.

"פייסבוק אינו מכחישה כי קיימת פגיעות שניתן להשתמש בה כדי "לצתת" לשיחות על ידי, למשל, ממשלות עם גישה לשרתים של WhatsApp. ולמרות ההצהרות הפומביות האחרונות של WhatsApp, הפגיעות לא ניתנת למניעה על ידי אימות טביעות אצבעות או בדיקת תיבת סימון בהגדרות WhatsApp.", כותב בולטר.

בולטר מסביר שתוכנות מסרים כמו ווטסאפ או סיגנל מחזיקות את המפתחות של אנשי הקשר אצלם בשרת, ומאפשרות להתקן הפרטי של המשתמש להוריד אותם בצורה קלה. הבעיה מתחילה אם למישהו יש גישה לשרת (שירות ביון למשל).

אם מישהו משיג גישה כזו, הוא יכול לתת להתקן של המשתמש מפתח של צד ג', במקום זה של החבר עימו המשתמש רצה לצור קשר. זו הסיבה שווטסאפ נותנים לכל משתמש אפשרות, אם אינו סומך עליהם, לוודא בעצמו עם החבר בצד השני שאכן המפתח שלו.

אולם, כאשר החבר מהצד השני משנה את מפתח ההצפנה כי החליף מספר או התקין מחדש את תוכנת ווטסאפ. במקרה כזה, השרת של ווטסאפ אמור לשלוח למשתמש הודעה שחבר שלו החליף מפתח, ולבקש ממנו לוודא את המפתח החדש מול החבר. אחרת לא תתאפשר תקשורת. פעולה כזו נקראת "חסימה" [blocking].

במציאות, ווטסאפ יקבל באופן אוטומטי את המפתח החדש של החבר וימשיך לשלוח הודעות בין הצדדים בצורה שקופה עם הצפנה על בסיס המפתח החדש (שלא אומת). גם אם זה תוך כדי התכתבות קיימת. זה נקרא "לא חסום" [non-blocking].

"זה לא נשמע רע מדי, כי היא משפיעה רק על הודעות "במעבר", אבל זה על פי שיקול דעתו של שרת WhatsApp להחליט אילו הודעות הן "במעבר" ואילו לא, על ידי העברת המסר "נמסר" בחזרה לשולח,", כותב בולטר.

"יתר על כן, שיחות קוליות של WhatsApp גם מושפעות: כאשר אתם מתקשרים למישהו ובמהלך זמן חיבור השיחה אתם מקבלים מפתח חדש, הטלפון שלך פשוט יעבור למפתח החדש בלי להתריע בפניך.

"יש הגדרה אופציונלית ב-WhatsApp בשם "הצג הודעות אבטחה". כאשר הגדרה זו מופעלת, הטלפון יציג לך אזהרה כאשר הוא מקבל מפתחות חדשים, אבל רק אחרי שהודעות אלה "במעבר" כבר נשלחו מחדש או שאתה מנתק את השיחה הקולית.

"סיגנל בוחרת להתמודד עם שינויים מרכזיים באמצעות חסימה ולכן היא לא כוללת את הפגיעות המובנית הזו".

אולי יעניין אותך גם

An F-15C Eagle assigned to the 493rd Fighter Squadron takes off in support of exercise Point Blank 20-1 at Royal Air Force Lakenheath, England, Jan. 30, 2020. Point Blank is a bilateral exercise that enhances professional relationships and improves overall coordination with allies and partner militaries. (U.S. Air Force photo by Airman 1st Class Mikayla Whiteley)

 

בית הנבחרים של ארה"ב אישר תקציב ההגנה לשנה הקרובה

אישור התקציב מאפשר לפנטגון להתחיל ברכש עשרות מערכות נשק חדשות