الكشف الأكثر دراماتيكية لعام 2018 - يمكن للخارج أن يتنصت سرًا على دردشاتك الجماعية المشفرة من النهاية إلى النهاية على تطبيقات المراسلة عبر WhatsApp و Signal.
وبالنظر إلى الحماية من ثلاثة أنواع من المهاجمين - المستخدم الضار ومهاجم الشبكة والخادم الضار - يلعب بروتوكول التشفير من طرف إلى طرف دورًا حيويًا في تأمين خدمات المراسلة الفورية.
الغرض الأساسي من وجود تشفير نهاية إلى نهاية هو إيقاف الثقة بالخوادم الوسيطة بطريقة لا يستطيع أحد ، ولا حتى الشركة أو الخادم الذي ينقل البيانات ، فك تشفير رسائلك أو إساءة استخدام موقعه المركزي للتلاعب الخدمات.
حسب الكلمات - بافتراض السيناريو الأسوأ - يجب ألا يتمكن موظف الشركة الفاسد من التنصت على الاتصال المشفَّر من طرف إلى طرف بأي وسيلة.
ومع ذلك ، فإن حتى الآن خدمات المراسلة المشفرة الشاملة من طرف إلى طرف ، مثل WhatsApp و Threema و Signal ، لم تحقق نظامًا خالصًا تمامًا.
وجد باحثون من Ruhr-Universität Bochum (RUB) في ألمانيا أن أي شخص يتحكم في خوادم WhatsApp / Signal يمكنه إضافة أعضاء جدد إلى أي مجموعة خاصة ، مما يسمح لهم بالتجسس على المحادثات الجماعية ، حتى بدون الحصول على إذن من المسؤول.
كما وصفها الباحثون ، في اتصال الزوج (عندما يتصل مستخدمان فقط ببعضهما) يلعب الخادم دورًا محدودًا ، ولكن في حالة الدردشات متعددة المستخدمين (الدردشة الجماعية حيث يتم بث الرسائل المشفرة إلى العديد من المستخدمين) ، فإن دور يزيد الخوادم لإدارة العملية بأكملها.
وهنا تكمن المشكلة ، أي الثقة في خوادم الشركة لإدارة أعضاء المجموعة (الذين يتمتعون في النهاية بإمكانية الوصول الكامل إلى المحادثة الجماعية) وأفعالهم.
كما هو موضح في ورقة RUB المنشورة حديثًا ، بعنوان "أكثر هو أقل: على الأمن الشامل للمجموعات الدردشات في الإشارة و WhatsApp و Threema" نظرًا لأن كلا من Signal و WhatsApp يفشلان في المصادقة بشكل صحيح على من يقوم بإضافة عضو جديد إلى المجموعة ، فمن الممكن لشخص غير مصرح له - وليس مسؤول مجموعة أو حتى عضو في المجموعة - أن يضيف شخصًا ما إلى الدردشة الجماعية.
ما هو أكثر من ذلك؟ إذا كنت تتساءل أن إضافة عضو جديد إلى المجموعة سيعرض إخطارًا مرئيًا للأعضاء الآخرين ، فهذا ليس صحيحًا.
وفقا للباحثين ، يمكن للمسؤول أو الموظف المارق المخترق مع الوصول إلى الخادم التلاعب (أو حظر) رسائل إدارة المجموعة التي من المفترض أن تنبه أعضاء المجموعة من عضو جديد.
"تساعد نقاط الضعف التي تم وصفها المهاجم A ، الذي يتحكم في خادم WhatsApp أو يمكنه كسر أمان طبقة النقل ، للتحكم الكامل في المجموعة. ومع ذلك ، يترك الدخول إلى المجموعة آثارًا لأن هذه العملية مدرجة في واجهة المستخدم الرسومية. وبالتالي يمكن للخادم أن يستخدم حقيقة أنه يمكنه إعادة ترتيب الرسائل وإسقاطها في المجموعة "، كما تقول الصحيفة.
"يمكن لذلك أن يقوم بتخزين الرسائل المرسلة إلى المجموعة ، وقراءة محتواها أولاً وتحديد الترتيب الذي يتم تسليمه إلى الأعضاء. بالإضافة إلى ذلك ، يمكن لخادم ال WhatsApp إعادة توجيه هذه الرسائل إلى الأعضاء بشكل فردي بحيث يمكن لمزيج من الرسائل المختارة بعناية أن يساعد لتغطية الآثار ".
اعترف WhatsApp بالمشكلة ، لكنه قال إنه إذا تمت إضافة أي عضو جديد إلى مجموعة ، دعنا نقول من قبل أي شخص ، سيتم إبلاغ أعضاء المجموعة الآخرين بالتأكيد.
"لقد درسنا هذه المسألة بعناية. يتم إبلاغ الأعضاء الحاليين عند إضافة أشخاص جدد إلى مجموعة WhatsApp. لقد قمنا ببناء WhatsApp بحيث لا يمكن إرسال رسائل المجموعة إلى مستخدم مخفي" ، قال متحدث باسم WhatsApp لـ Wired.
"إن خصوصية مستخدمينا وأمنهم أمر مهم للغاية بالنسبة إلى WhatsApp. ولهذا السبب فإننا نجمع معلومات قليلة جدًا وجميع الرسائل المرسلة على WhatsApp مشفرة من البداية إلى النهاية."
ولكن إذا لم تكن جزءًا من مجموعة تضم أعضاءًا مختارين جدًا ، فأنا متأكد من أن العديد منكم سيتجاهل هذه الإعلامات بشكل نسبي بسهولة.
كما نصح الباحثون الشركات بإصلاح المشكلة فقط عن طريق إضافة آلية مصادقة للتأكد من أن رسائل إدارة المجموعة "الموقعة" تأتي من مسؤول المجموعة فقط.
ومع ذلك ، فإن هذا الهجوم ليس سهلاً (باستثناء ، الخدمات تحت الضغط القانوني) للتنفيذ ، لذلك لا ينبغي على المستخدمين القلق بشأنه.