WhatsApp后门允许黑客拦截并读取你的加密信息
大多数人认为,端到端加密是保护秘密通信不受窥探的最终方法,确实如此,但如果没有正确实施,它可以被拦截。
在介绍之后“默认情况下,端到端加密“去年,WhatsApp已经成为世界上最大的安全通讯平台,在全球拥有超过10亿用户。
但是,如果你认为你的对话是完全安全的,没有人,甚至连拥有WhatsApp的公司Facebook都不能拦截你的信息,那么你就大错特错了,就像我们大多数人一样,这不是一个新概念。
这里是关键:端到端加密消息服务,如WhatsApp和Telegram,包含一个后门,如果必要,公司、当然还有黑客或情报机构可以使用它来拦截和读取您的端到端加密消息,而这一切都不会破坏加密。
毫无疑问,大多数加密消息服务都会在您的设备上离线生成和存储私钥,并且只通过公司的服务器向其他用户广播公钥。
比如,在WhatsApp的案例中,我们必须相信该公司不会改变发送方和接收方之间的公钥交换机制,从而对窥探您加密的私人通信进行中间人攻击。
来自加利福尼亚大学的安全研究员Tobias Boelter报告说,WhatsApp的基于信号协议的端到端加密已经被实现,如果WhatsApp或任何黑客通过利用基于信任的密钥交换机制拦截聊天。您永远不会知道加密密钥是否在后台发生了任何更改。是的,这是可能的。
让我们用一个简单的场景来理解后门:
假设用户A和B想要聊天,WhatsApp已经通过其服务器自动交换了他们的公钥。
现在,从用户A发送的每条消息都将使用A的私钥和B的公钥进行加密,这两个密钥只能由用户B使用A的公钥和B的私钥进行解密。
假设:用户B处于脱机状态,用户A向用户B发送了一些消息。但同时,由于某种原因,用户B不得不更改设备并在其上重新配置相同的Whatsapp帐户。新安装将迫使用户B为同一帐户重新生成新的公钥和私钥对。
之后,每当用户B再次联机时,设备将接收A发送的其余未送达消息。
但是用户B如何解密应该使用旧公钥B加密的消息呢?
这是因为,当用户B再次联机时,Whatsapp会自动与用户交换新密钥,而无需通知他们,为了成功传递相同的消息,A的Whatsapp将使用新收到的B公钥对其重新加密。
这就是后门在整个机制中所依赖的地方!
如果黑客(假设用户C)故意用自己的公钥替换B的公钥,所有未传递的消息将自动重新加密并传递给C,而C只能由用户C(黑客)的私钥解密。
众所周知,可用性和安全性是成反比的,选择可用性而不是安全性的结果并不好。“WhatsApp在信号协议中实现了一个后门,使其能够强制为离线用户生成新的加密密钥,并使发送方使用新密钥重新加密消息,并再次发送未标记为已发送的消息。接收方不知道加密的这一变化。《卫报》报道。
但是,只有在以下情况下,用户才能在安全代码更改时收到通知:安全通知“选项已从应用程序设置手动打开。与此同时,OpenWhisper Systems的iOS开发者弗雷德里克·雅各布斯(Fredric Jacobs)也在twitter上做出了回应,并承认如果你不验证按键信号/WhatsApp/...中间人能帮你沟通吗,“不过他也补充道这件事被当作一个后门,真是荒谬。如果不验证密钥,则无法保证密钥的真实性。众所周知的事实。"
请注意,这个后门与开放式耳语系统创建的信号加密协议无关。如果实施正确,它是最安全的加密协议之一。
自2016年6月以来,Facebook一直没有修复它
Boelter告诉《卫报》,他在2016年4月向Facebook报告了这个后门——当时WhatsApp在其消息应用程序中默认实施端到端加密。
然而,研究人员在回复中被告知,Facebook已经意识到了这一问题,并证明这是一个“错误”预期行为."“WhatsApp表示,它实施了后门以提高可用性。如果后门不到位,发送给离线用户的消息,在用户重新上线后,这些用户会更改智能手机或重新安装WhatsApp,并由此为自己生成新的安全密钥,但这些消息仍将无法送达。”卫报说。“在世界许多地方,人们经常更换设备和Sim卡。在这种情况下,我们希望确保人们的信息在传输过程中得到传递,而不是丢失。”WhatsApp发言人告诉《卫报》。
是的,WhatsApp仍然存在后门。
如何保护自己免受间谍活动?
为了防止MITM攻击的可能性,WhatsApp还在其应用程序中提供了第三个安全层,您可以通过扫描二维码来验证与您通信的其他用户的密钥(缺点:需要有人在场)或者通过另一种通信方式比较60位数字。"安全代码只是你们之间共享的特殊密钥的可见版本——别担心,它不是真正的密钥本身,总是保密的。"
然而,只有当你正在积极寻找验证会话密钥的真实性时,这个选项才有用。我们知道,数以千计的偏执狂用户中只有一个会这样做。
Whatsapp的安全替代品
哦你一定在想;那么,哪种安全消息服务可以针对这种破坏信任和拦截提供保护?
有几种替代方案,例如“信号私人信使“,由Open Whisper Systems开发,是最受推荐的安全消息应用程序。
