Lås op for hemmeligheden bag private beskedapps

Uanset om du deler fortrolige oplysninger eller bytter filmideer med en ven, henvender folk sig til apps til private beskeder, der tilbyder ende-til-ende-kryptering for at beskytte indholdet af deres samtaler.

Når data deles over internettet, krydser de ofte en række netværk for at nå sin destination. Apps såsom WhatsApp, der ejes af sociale mediegiganten Meta (tidligere Facebook), giver et niveau af privatliv, der endda udfordrer offentlige myndigheder fra at få adgang til krypterede samtaler.

Men med apps, der konstant ændrer deres sikkerheds- og privatlivspolitikker, er beskederne stadig sikre mod at blive dekrypteret?

Tilbage i maj 2021, afvisning af onlinefællesskabet med ændringerne af WhatsApps privatlivspolitik for forretningsenheder, der bruger platformen, så mange brugere skifte til andre private beskedapps såsom Signal og Telegram.

Cybersikkerhedsekspert, Dr. Arash Shaghaghi fra UNSW School of Computer Science and Engineering og UNSW Institute for Cyber ​​Security, sammenligner kryptering med det som at have en hemmelig samtale mellem dig og en anden person.

"For at holde vores information væk fra nysgerrige øjne, er vi afhængige af kryptografiske algoritmer til at kryptere vores data. Kryptering involverer at konvertere menneskelæselig almindelig tekst til et kodet format, og dataene kan kun læses, efter at de er blevet dekrypteret," siger han.

"Kryptering involverer at bruge en nøgle til at låse en besked, mens dekryptering er at bruge en nøgle til at låse en besked op.

"I teorien, hvis en udenforstående observerede en krypteret samtale, kunne de ikke forstå det, og de vil have brug for den passende nøgle til at dekryptere den.

"Interessant nok, med nogle ende-til-ende-krypteringsprotokoller, såsom Signal, kan de, selvom nogen stjæler krypteringsnøglerne og trykker på forbindelsen, ikke dekryptere meddelelser, der allerede er sendt. I kryptosprog betegnes dette som fremadrettet hemmeligholdelse."

Er vores beskeder fuldt sikre?

Moderne krypteringsalgoritmer er blevet kamptestet og har vist sig ikke at have nogen kendte sårbarheder. Selvom det ikke betyder, at det er umuligt at knække, kræver processen omfattende processorkraft og kan tage betydeligt lang tid at udføre. Kvantecomputere, hvis de er modne nok, vil være i stand til at knække meget af nutidens kryptering.

Angribere retter sig almindeligvis mod endepunkter og deres sårbarheder. Dette er meget nemmere end kryptoanalyse, som er den proces, der bruges til at bryde kryptografiske sikkerhedssystemer.

For eksempel målrettede angribere sidste år en sårbarhed relateret til WhatsApps billedfilterfunktion, der blev udløst, da en bruger åbnede en vedhæftet fil, der indeholdt en ondsindet billedfil. Der er blevet rapporteret mere alvorlige og mindre komplicerede sårbarheder rettet mod WhatsApp-klienter, der kører på iOS og Android.

Dr. Shaghaghi siger, at når du sikkerhedskopierer dine beskeder på nogle af beskedplatformene, bliver dine beskeder skubbet til skyen. Det betyder, at alle dine beskeder nu er gemt på en andens computer.

"Tjenesteudbyderens implementering af end-to-end-kryptering spiller en væsentlig rolle i sikkerheden og privatlivets fred for en beskedapp mod udbyderen og angriberne," siger han.

"WhatsApp plejede at opbevare en sikkerhedskopi af beskederne i et ukrypteret format over iCloud til Apple-brugere og Google Drev for dem, der brugte WhatsApp i Android. Selvom WhatsApp tog en ende-til-ende-krypteringsmodel i brug i 2016, var ukrypterede sikkerhedskopier sårbare overfor regeringsanmodninger, tredjepartshacking og offentliggørelse fra Apple- eller Google-medarbejdere."

I 2021 udrullede WhatsApp en mulighed for brugere til at aktivere end-to-end-kryptering af deres sikkerhedskopier. Selvom dette blev hilst velkommen som et positivt skridt fremad, burde det være standard for alle brugere – ikke tilbudt som en mulighed, siger Dr. Shaghaghi.

"Brugere, der er bekymrede over deres datas sikkerhed og privatliv, skal sørge for at aktivere end-to-end krypteringssikkerhedskopiering for WhatsApp og andre meddelelsesplatforme."

Hvad med Signal og Telegram?

I modsætning til WhatsApp og Signal har Telegram ikke ende-til-ende-kryptering aktiveret som standard. Kun når "sikker chat"-funktionen er aktiveret, anvender Telegram MTProto-protokollen, en open source og specialudviklet protokol af meddelelsesudbyderen.

"Så vidt vi ved, er Signal, Telegram og WhatsApp sikre i at levere end-to-end kryptering, hvis muligheden er aktiveret," siger Dr. Shaghaghi.

"Men, Signal er bygget med privatliv og sikkerhed som den primære motivation. Signals' slutpunkts kildekode er også tilgængelig for offentligheden - dette giver enhver mulighed for at inspicere koden og identificere sårbarheder.

"Jeg tror, ​​at konsensus er, at Signal er en mere sikker og privatlivsvenlig beskedløsning sammenlignet med WhatsApp, Telegram eller Facebook Messenger."

Med så mange meddelelsesplatforme tilgængelige på markedet, siger Dr. Shaghaghi, at der er nogle enkle trin at tage for at hjælpe med at beskytte en brugers privatliv.

"Beskedplatforme indeholder en masse private oplysninger, så det er værd at sikre, at den platform, vi bruger, har et godt ry for at sikre brugernes sikkerhed og privatliv," siger han.

"Det er også værd at bruge et par ekstra minutter på at aktivere nogle af de mere avancerede sikkerhedsfunktioner, som disse platforme tilbyder, såsom end-to-end backup-kryptering eller multi-faktor-godkendelse.

"Og uanset hvilken platform du vælger at bruge, er det bedste praksis at sikre, at vi bruger den nyeste version af apps og undgår at downloade apps fra tredjepartsbutikker."

Moderering af indhold, der udveksles via end-to-end krypterede meddelelsesplatforme

Der har været stærke opfordringer fra forskellige regeringsorganisationer til, at disse apps skal inkludere bagdøre, som ville give adgang til data, når det anses for påkrævet af myndighederne.

Nylige læk fra U.S. Federal Bureau of Investigation (FBI) viste, at selv med en stævning har magtfulde regeringsenheder begrænset adgang til beskeder, der udveksles via apps, der bruger ende-til-ende-kryptering.

Dette argument er især bekymrende for mange brugere, der er bekymrede for, at det er det første skridt væk fra de stærke krypteringsprincipper, som de stoler på for at sikre deres datas sikkerhed og privatliv.

Der har været løbende debatter i Australien og i udlandet om dette emne.

"Fra et sikkerhedsteknisk perspektiv er det aldrig en god idé at implementere en bagdør," siger Dr. Shaghaghi.

"Der er ingen garanti for, at ondsindede hackere ikke også finder ud af disse bagdøre og udnytter dem.

"Men de, der går ind for en løsning, der tillader adgang for retshåndhævende myndigheder, hævder, at de har brug for adgang i betragtning af kriminelles stigende brug af disse platforme."

Nogle meddelelsesudbydere og teknologivirksomheder har reageret ved at foretage ændringer i platformens funktionalitet.

"For at opfylde regulatoriske krav giver WhatsApp nu brugere mulighed for at markere en besked, der skal gennemgås af deres moderatorer. Dette skal startes af en bruger, og når en besked er markeret, bliver de få beskeder før den også videresendt til WhatsApp-moderatorer," siger Dr. Shaghaghi.

"Apple har promoveret krypteret meddelelser på tværs af sit økosystem og har kæmpet imod retshåndhævende myndigheder, der leder efter registreringer.

"I 2021 annoncerede de børnesikkerhedsfunktioner, der inkluderer detektering af seksuelt eksplicitte billeder over iMessage, en anden platform, der bruger ende-til-ende-kryptering. For at implementere denne funktion planlægger Apple at implementere detektionen på enheden og ikke gennem en krypteringsbagdør.

"Jeg tror, ​​vi kan balancere behovet for at moderere kriminelt indhold og krav til sikkerhed og privatliv ved at opdele problemet i mere specifikke use-cases og udvikle innovative løsninger." + Udforsk yderligere

Sikkerhedsfejl fundet i WhatsApp, Telegram:forskere