Geënkripteerde boodskappe op veelvuldige toestelle kan risiko's verhoog, sê kenners

INHOUDSOPGAWE:

Geënkripteerde boodskappe op veelvuldige toestelle kan risiko's verhoog, sê kenners
Geënkripteerde boodskappe op veelvuldige toestelle kan risiko's verhoog, sê kenners
Anonim

Sleutel wegneemetes

  • WhatsApp beta-toets multi-toestel vermoëns met 'n klein groepie gebruikers.
  • Die nuwe kenmerk sal gebruikers toelaat om kommunikasie oor vier bykomende toestelle te sinkroniseer.
  • Kenners sê daar kan privaatheid-afwykings wees wanneer daar oor toestelle gekommunikeer word, selfs wanneer geïnkripteer.
Image
Image

Na sy Julie-aankondiging dat multi-toestel-vermoëns in beta is, was WhatsApp-gebruikers verheug oor die idee om op verskeie toestelle aan te meld. Maar sal die bykomende gerief kom met afwegings vir privaatheid? Hier is wat jy moet weet.

Ondanks sy bekroonde enkripsieprotokol, het die gewilde boodskaptoepassing die afgelope jare (en, eh, gister) 'n paar keer onder skoot gekom vir talle kwesbaarhede, wat vrae laat ontstaan oor sy sekuriteit. Kenners waarsku daar kan ook afwykings wees wanneer veelvuldige toestelle aan enige geïnkripteer kommunikasietoepassing gekoppel word.

"[Die vraag] is nie net om meer toestelle by te voeg nie, maar is hulle altyd veilig?" Steven M. Bellovin, 'n professor in rekenaarwetenskap aan die Columbia-universiteit, het in 'n telefoononderhoud aan Lifewire gesê. "Die sekuriteitsfrase is 'aanval oppervlak' - op hoeveel plekke kan jy aangeval word, en op hoeveel verskillende maniere?"

tegnies veilig

Volgens Bellovin begin een van die meer uitdagende kwessies om aan te spreek oor die beveiliging van veelvuldige toestelle onder een rekening by die basiese grondslae van enkripsie.

"Alle enkripsie hang af van 'n geheime sleutel," het Bellovin gesê en enkripsiesleutels vergelyk met motorsleutels wat net die motor waaraan hulle behoort kan aanskakel. "Elke persoon moet sy eie hê. Dis hoekom jy dit kan lees en niemand anders kan nie."

Omdat elke toepassing wat op end-tot-end-enkripsie (E2EE) staatmaak, 'n spesifieke protokol gebruik wat gebaseer is op die onderliggende beginsels van sleutelhantering en naamruimte (laasgenoemde is gewoonlik die gebruiker se telefoonnommer), het Bellovin gesê die uitdaging is om 'n manier te vind om sleutels veilig te skuif en eienaars op verskeie toestelle te staaf - iets wat hy gesê het is "nie 'n maklike vraag nie."

Sleutels tot die Koninkryk

Net soos sy mededingers, laat WhatsApp reeds gebruikers toe om op 'n rekenaar aan te meld solank hulle ook aangemeld is by die slimfoon wat met hul sleutel geassosieer word (die maatskappy sê dit weerspieël dan die rekening). Onder die beta-stelsel sal elke gesinkroniseerde toestel egter sy eie sleutel hê wat gebruikers toelaat om by vier bykomende toestelle aan te meld sonder 'n foon.

[Die vraag] is nie net om meer toestelle by te voeg nie, maar is hulle altyd veilig?

"E2EE gebruik gewoonlik 'n enkele enkripsiesleutel per gebruiker, wat die sleutel moet kopieer na elke toestel wat hulle wil gebruik… Dit is hoekom WhatsApp tot nou toe net een toestel ondersteun het - want dit is moeilik om daardie enkripsie te hou sleutel veilig en veilig terwyl dit na verskeie toestelle geskuif word," John S. Koh, 'n sekuriteitsnavorser wie se werk gefokus het op 'n multi-toestel E2EE benadering genaamd per-toestel sleutels (PDK), het in 'n e-pos aan Lifewire gesê.

"Met PDK, in plaas daarvan dat gebruikers net 'n enkele enkripsiesleutel het, het elkeen van 'n gebruiker se toestelle sy eie enkripsiesleutel. Dit lyk asof WhatsApp hierdie konsep aanvaar en verwys na die toestelsleutels as 'identiteitsleutels'," Koh gesê. "Een van die voordele van E2EE op veelvuldige toestelle wat my, en vermoedelik WhatApp se, benadering gebruik wat op een sleutel per toestel staatmaak, is dat die gebruiksmodel vir gebruikers baie makliker is om te verstaan. Die kompromis is die uiterste geval van gebruikers wat hul toestelle verloor en moet die toegang daarvan verwyder, wat soms 'n moeisame proses kan wees."

Meer toestelle, dieselfde oplossings

"Die antwoord of iets veilig is, begin altyd met 'n ander vraag, wat is: 'Wat is jou behoeftes?'" Maritza Johnson, 'n sekuriteits- en privaatheidskenner en sentrumdirekteur by die Universiteit van San Diego, het aan Lifewire gesê in 'n telefoononderhoud.

Om individuele sekuriteitsbehoeftes aan te spreek, het Facebook in 'n blogplasing gesê WhatsApp beplan om die vermoë te bied om alle toestelle wat aan 'n rekening gekoppel is, te sien, te sien wanneer hulle laas gebruik is, en op afstand af te meld - iets wat Johnson gesê het belangrik is, veral vir slagoffers van lewensmaatmishandeling wat soms teikens van kuberstal is.

Image
Image

"Jy wil nie hê jou eks-kêrel se foon moet 'n kopie van alles kry nie en jy weet nie, of jy weet nie hoe om dit af te skakel nie," het Johnson gesê. "Dit is 'n persoonlike besluit, as jy op 'n gedeelde toestel by jou WhatsApp-rekening wil aanmeld, en deur te dink wat die implikasies daarvan sou wees."

Johnson het ook beklemtoon hoe belangrik dit is om seker te maak dat elke gekoppelde toestel wagwoordbeskerm is om te verhoed dat iemand anders fisies toegang daartoe kry - iets waarteen die sterkste enkripsie nie kan beskerm nie.

"Enige skootrekenaar, tablet of ander toestel wat jy met dieselfde rekening gebruik, jy sal seker wil wees dat jy dieselfde basisvlak van sekuriteit op almal het…sodat iemand kan' nie net swiep om oop te maak nie," het Johnson gesê.

Aanbeveel: