WhatsApp, sikkerhed og spyware:hvad skete der

Facebook-ejede WhatsApps afsløring af en sikkerhedsfejl, der tillader hackere at injicere spyware på smartphones, rejste nye bekymringer om sikkerheden i det mobile økosystem.

Her er fem centrale spørgsmål og svar:

Hvad skete der med WhatsApp?

Sikkerhedshullet i WhatsApp-meddelelsesappen kan gøre det muligt for en hacker at injicere malware for at få adgang til Android- eller Apple-smartphones.

WhatsApp rettede fejlen i denne uge efter at have fået besked om, at spywaren blev brugt til at spore menneskerettighedsaktivister og advokater.

Sikkerhedsforskere mener, at angriberne brugte det kraftfulde Pegasus-spyware fra den israelske NSO Group. Ifølge en nylig analyse af softwaren fra sikkerhedsfirmaet Lookout, Pegasus kan "undergrave" enhedens sikkerhed og "stjæler ofrets kontaktliste og GPS-placering, såvel som personlige, Trådløst internet, og router-adgangskoder gemt på enheden."

Infektionen kan slå rod med et simpelt opkald via WhatsApp. At gøre tingene værre, ofre ved muligvis ikke, at deres telefoner var inficeret, fordi malwaren tillod angribere at slette opkaldshistorikken.

Denne levering var "særligt skræmmende, " sagde sikkerhedsforsker John Dickson fra Denim Group, fordi det inficerede enheder uden nogen brugerhandling.

"Normalt skal en bruger klikke på noget eller gå til et websted, men det var ikke tilfældet her, " sagde Dickson. "Og når først (angriberen) er indenfor, de ejer enheden, de kan gøre alt."

Hvem har skylden?

Mens fejlen blev opdaget i WhatsApp, sikkerhedseksperter siger, at enhver applikation kunne have været et "køretøj" for spyware-nyttelasten.

"Vi har endnu ikke været i stand til at skrive software, der ikke har fejl eller mangler, "sagde Joseph Hall, chefteknolog for Center for Demokrati &Teknologi, en gruppe for digitale rettigheder.

Hall sagde, at krypteringen i WhatsApp ikke var brudt, og at "Facebooks svar var overordentlig hurtigt."

Marc Lueck fra sikkerhedsfirmaet Zscaler sagde, at baseret på Facebooks svar, "Du burde give dem ros for at have opdaget det i første omgang, dette var en meget dyb sårbarhed."

Indtrængen hos WhatsApp "var ikke et angreb på kryptering, det var et angreb på et andet element i ansøgningen," sagde Lueck.

Er kryptering stadig værd?

Kryptering forbliver en vigtig funktion ved at etablere en sikker "tunnel" mellem to parter, der verificerer deres identiteter, Lueck bemærkede.

"Kryptering er ikke vigtig kun for privatlivets fred, det er vigtigt for tillid, " han sagde.

Kryptering brugt af WhatsApp og andre beskedapplikationer forhindrer aflytning af beskeder og samtaler, men beskytter ikke mod et angreb, der får adgang til selve enheden, bemærker forskere.

"Ende-til-ende-kryptering beskytter ikke mod angreb på dit slutpunkt, sand. Og sikkerhedsseler og airbags gør intet for at forhindre din bil i at blive ramt af en meteorit, " tweetede Matt Blaze, en ekspert i computersikkerhed på Georgetown University.

"Selvom ingen af ​​dem beskytter mod enhver mulig skade, de forbliver begge det mest effektive forsvar mod meget almindelige skader."

Dickson sagde, at selvom ingen kryptering er idiotsikker, den eneste måde at undgå hacking på ville være helt at undgå elektronik:"Du kunne bruge fyre på hesteryg."

Skal jeg bekymre mig om at blive angrebet?

Citizen Lab, et forskningscenter ved University of Toronto, sagde i en rapport fra 2018, at den fandt Pegasus spyware -infektioner i 45 lande, med 36 "sandsynlige statslige operatører."

NSO fastholder, at den leverer sin software til lovlige retshåndhævelses- og efterretningsformål. Men Toronto-forskerne sagde, at det var blevet indhentet af lande med "tvivlsomme" menneskerettighedsregistre og antydede, at det kan være blevet brugt af Saudi-Arabien til at spore og dræbe dissidentens journalist Jamal Khashoggi.

Citizen Lab-forskere skrev i Globe &Mail, at de "afgravede mindst 25 tilfælde af misbrug af fortalergrupper, advokater, videnskabsmænd og forskere, efterforskere af masseforsvindinger og mediemedlemmer."

Men Lueck sagde, at programmer som Pegasus er ekstremt dyre og ikke let kan tjene penge på af hackere for profit.

"Din gennemsnitlige person er ikke målet for dette specifikke stykke software, som er bygget til at sælge til regeringer for at målrette mod enkeltpersoner og ikke fungerer i stor skala, " han sagde.

Stadig, Lueck sagde, at fejlen understreger det faktum, at "mobiltelefonens økosystem er blevet en lige så usikker og sårbar platform som computeren."

Har regeringer brug for bedre digitale værktøjer?

Afsløringerne kommer, da regeringer søger bedre værktøjer til at spore kriminelle og ekstremister ved hjælp af krypterede beskeder. En australsk lov kræver, at teknologigiganter fjerner elektronisk beskyttelse og hjælper med adgang til enheder eller tjenester.

Retshåndhævende myndigheder har klaget over "at blive mørkt" over for krypteret elektronisk kommunikation, mens de efterforsker alvorlige forbrydelser som terrorisme og seksualforbrydelser af børn.

Men Hall sagde, at nyhederne om Pegasus viser, at regeringer har værktøjer til at udnytte softwarefejl til specifik målretning uden at svække kryptering og privatliv for alle brugere.

"Du kan målrette leveringen mod bestemte personer i stedet for at bryde ind på alles telefon på én gang, " han sagde.

© 2019 AFP