ה"גארדיאן": פרצת אבטחה ענקית בוואטסאפ
על פי האתר הבריטי, חוקר בארה"ב גילה כי החברה יכולה לשנות את מפתח ההצפנה של הודעות אופליין ולשלוח אותן מחדש - מה שמאפשר לחברה לקרוא הודעות ואף שיחות שלמות. "איום ענקי על חופש הביטוי", טוענים פעילים
פרצת אבטחה המאפשרת לחברת פייסבוק לקרוא הודעות מוצפנות מצאה את דרכה לאפליקציית ההודעות וואטסאפ – כך פרסם היום (ו') אתר ה"גארדיאן" הבריטי. זאת למרות השימוש ב"הצפנה מקצה לקצה" שנועדה להבטיח פרטיות מרבית.
''מכרה זהב עבור ארגונים ביטחוניים''. וואטסאפ
פייסבוק, בעליה של וואטסאפ, טוענת שאיש לא יכול ליירט ולקרוא את ההודעות המוצפנות שנשלחות באפליקציה – אפילו לא צוות החברה. בכך היא טוענת שמובטחת פרטיות למעל מיליארד המשתמשים. אולםעל פי האתר, מחקר חדש מראה כי למעשה פייסבוק יכולה לקרוא אותן בשל הדרך שבה יישמה וואטסאפ את טכנולוגיית ההצפנה מקצה לקצה.
הפרצה התגלתה על ידי טוביאס בולטר, חוקר קריפטוגרפיה ואבטחה באוניברסיטת קליפורניה בברקלי, ארצות הברית. בולטר אמר כי "אם גורם בממשלה יבקש מוואטסאפ את רישומי ההודעות, היא יכולה בפועל לתת להם גישה הודות לשינוי במפתח".
האתר ציטט פעילים שטענו כי מדובר ב"איום ענק על חופש הביטוי", ושגופי ממשלה יכולים להשתמש בפרצה כדי לעקוב אחרי הודעות של משתמשים שחשבו כי הודעותיהם בטוחות. וואטסאפ יצאה בקמפיין שמטרתו להדגיש את השמירה על הפרטיות בהודעות הנשלחות בה, ומשתמשים בה גם פעילים ודיפלומטים.
לטענת ה"גארדיאן", למרות שההצפנה מקצה לקצה נועדה למנוע מצב שבו צד שלישי מיירט הודעה שנשלחה, לוואטסאפ יש יכולת לייצר מפתחות הצפנה חדשים למשתמשי אופליין, ללא ידיעת שולח ומקבל ההודעה. החברה יכולה לגרום לשולח להצפין מחדש את ההודעה עם מפתח חדש, ולשלוח אותה מחדש עבור כל הודעה שלא מסומן שהיא הגיעה ליעדה.
אפליקציית וואטסאפ
תמונה: PEXELS
שינוי זה בהצפנה אינו מובא לידיעת מקבל ההודעה, ומובא לידיעת השולח רק אחרי השליחה מחדש ורק אם המשתמש סימן את האופציה לקבל התראות בנוגע להצפנה.
בולטר דיווח לפייסבוק על פרצת האבטחה החמורה כבר באפריל 2016, אך נענה כי החברה מכירה את הנושא, שזו "התנהגות צפויה" ושלא עובדים על זה בפועל. באתר אמרו כי אימתו שהפרצה עדיין קיימת.
לטענתו של בולטר, "ניתן יהיה לטעון שבגלל שהפרצה רלוונטית רק להודעות אופליין (לא מקוונות), היא תוכל לשמש רק ליירוט הודעות ספציפיות ולא לשיחות שלמות. אך הדבר אינו נכון אם מביאים בחשבון שהשרת של וואטסאפ יכול פשוט להעביר את ההודעה ללא סימן ה'וי' הכפול, שמסמן שההודעה התקבלה על ידי הנמען, ואז לבצע את החלפת מפתח ההצפנה – דבר שלא כל המשתמשים ישימו לב אליו. כך החברה תוכל לקבל את כל השיחה".
פרופסור קירסטי בול, מייסדת "המרכז למחקרי מידע", כינתה את קיום פרצת האבטחה "מכרה זהב עבור ארגונים ביטחוניים" ו"בגידה ענקית באמון המשתמשים". "מדובר באיום ענקי על חופש הביטוי", הוסיפה.
מחברת "וואטסאפ" נמסר בתגובה כי "למעלה ממיליארד בני אדם משתמשים היום ב'וואטסאפ' בגלל הנוחות, הפשטות והבטיחות שבאפליקציה. תמיד האמנו ששיחות של אנשים צריכות להיות מאובטחות ולהישאר פרטיות".
היכנסו לעמוד הפייסבוק החדש של nrg
אקו"ם