واتس اپ

ضعف امنیتی جدید واتس اپ، امنیت رمزگذاری end-to-end را زیر سوال برد


یکی از ویژگی هایی که سبب محبوبیت جهانی پیام رسان واتس اپ شده، قابلیت رمزگذاری end-to-end آن می باشد که امکان خواندن پیام های ارسالی و دریافتی از سوی افراد غیرمجاز را غیرممکن می سازد. اما آنطور که شواهد نشان می دهند، این سیستم امنیتی آنچنان که ادعا شده امن نمی باشد، به طوری که ضعف امنیتی در اپلیکیشن، کمپانی را قادر به رهگیری و رمزگشایی پیام های شخصی ارسال شده از طریق واتس اپ می کند. واتس اپ از رمزگذاری توسعه داده شده توسط Open Whisper Systems استفاده می کند که کمپانی پشت پرده رمزگذاری end-to-end برای SMS app Signal می باشد و کمپانی پروتکلی را ساخته که قادر به تولید کلیدهای رمزگذاری جدید برای کاربران آفلاین است و این کلیدها کارکنان واتس اپ را قادر به دسترسی به پیام های شخصی کاربران می کند.

این ضعف امنیتی توسط یکی از محققین دانشگاه کالیفرنیا به نام Tobias Boelter یافت شده و او سال گذشته فیسبوک را از این موضوع باخبر کرد، فیسبوک نیز در جواب او بیان داشت که این رفتار قابل انتظار و عمدی است.

Tor Jensen نیز با تایید یافته های Boelter، بیان داشت که واتس اپ می تواند عملیات جابجایی کلیدهای امنیتی را زمانی که گوشی ها در حالت آفلاین قرار دارند ادامه دهد و پیام ها را مجددا ارسال نماید و کاربران به هیچ عنوان از این موضوع مطلع نمی شوند و این شرایط به شدت امنیت پلتفرم را زیر سوال می برد.

شاید برخی افراد اینگونه تصور کنند که با استفاده از این آسیب پذیری، افراد تنها قادر به سو استفاده از پیام های تکی و نه کل مکالمات می باشند، اما به بیان Boelter این تصور صحت ندارد، سرور واتس اپ بدون ارسال رسید دریافت به گیرنده، می تواند پیام ها را forward کند و کاربران چیزی متوجه نمی شوند. با استفاده از آسیب پذیری ارسال مجدد، سرور واتس اپ می تواند یک رونوشت از کل مکالمات را دریافت کند.

آیا این آسیب امنیتی تاثیری در محبوبیت واتس اپ در بین کاربران خواهد گذاشت؟

 

http://www.eteknix.com برگرفته از

اینها را هم بخوانید