Facebook为WhatsApp安全后门的火灾
Facebook在WhatsApp的端到端加密系统中受到严重漏洞,这使用户受到监视的风险。
在安全研究员在Facebook拥有的WhatsApp消息服务中找到了一个可以提供信息的WhatsApp消息服务中发现了安全后台的批评和警告,请报告监护人。
安全研究人员表示,该漏洞强调了加密密钥管理的重要性,并对各国政府和其他人利用该漏洞的潜力表示担忧,而隐私集团表示脆弱性是对言论自由的威胁。
Facebook在2014年获得价值19亿美元的交易中的Whatsapp,并在2016年违约推出了全新的终端加密,这是由安全行业供应商和评论员迅视的欢迎。
求助于更大隐私的市场压力,Facebook表示,该举措旨在通过阻止网络犯罪分子,黑客,政府和Facebook本身的访问来进行在线通信。
当时,安全专家表示,WhatsApp加密建立在独实协议的实体基础上,设计为ByPen Whispers系统。
通过生成在用户之间交换和验证以保证通信的唯一加密密钥来进行加密工作。
然而,研究人员发现WhatsApp有能力强制生成脱机用户的新加密密钥,并使发件人重新加密并重新发送消息。
这可以在没有收件人的知识的情况下完成,而只有在邮件具有Ben Resent后,才会通知发件人才会通知,而才会报告监护人。
WhatsApp加密系统中的漏洞不是信号协议所固有的,并且由加利福尼亚大学伯克利的安全研究员托比亚布尔博物馆发现。
根据博纳利,如果由政府订购WhatsApp以这样做,它可以允许访问通过服务发送的消息,因为它已经实现了信号协议的方式。
在打开的耳语系统的信号消息传递应用程序中,如果收件人在脱机时更改键,则将无法传递发送的消息。但是发件人将收到更改的通知,并且消息不会自动重新感激。
但是,在WhatsApp的情况下,具有新密钥的未交付消息是自动的,如果它们没有更改默认设置,则会自动对此感知。
A WhatsApp发言人告诉监护人,在WhatsApp的实现中,在信号协议的实现中,如果联系人的安全代码已更改,则在帐户安全设置中存在“显示安全通知”选项。
“我们知道这种发生的最常见原因是因为有人有交换机或重新安装WhatsApp。这是因为在世界许多地方,人们经常改变设备和SIM卡。在这些情况下,我们希望确保人们的信息交付,而不是在运输过程中丢失。“
该公司表示:“WhatsApp不会将政府将”后门“进入其系统,并将与任何政府要求建立一个后门。”
WhatsApp重申,它的信号协议实现了“设计决策”,其防止数百万条消息丢失。
“Whatsapp提供人们的安全通知,提醒他们潜在的安全风险,”该公司表示,“Whatsapp在其加密设计上发布了技术白皮书,并对其收到的政府请求透明,发布了关于这些请求的信息Facebook政府请求报告。
据博尔斯特介绍,他于2016年4月向Facebook报告了漏洞,但被告知该公司了解该问题,这是“预期行为”。
从那时起,Whatsapp作为活动家,持不同政见者和外交官的通信工具变得流行,但是由监护人潜在地支持各国政府或其他人监测有针对性的对话的第三方,第三方确认了脆弱性的持续存在。
安全公司Venafi的Cyber Security策略师Kevin Boce表示,从这种滥用加密的政府滥用滥用的潜力令人震惊。
“这是一个严重的漏洞 - WhatsApp需要知道如何保护钥匙,以便保持超过十亿用户安全和私密的全球通信,”他说。
Bocek表示,这种潜在的差距是一个提醒加密钥匙力量以及如何缺乏关于他们使用的知识可能会产生严重的后果。
“需要在需要的情况下到解系统以保护和更改键,如需要。他说,这是一项至关重要的是,这是一个全球各国政府试图打破和侵入使用加密保护隐私的时候,这是至关重要的,“他说。
雅各布Ginsberg,加密ImpechowOrx高级总监表示,Whatsapp在“消费者”加密中有助于教育公众关于政府和执法的尝试,以削弱国家安全的利益。
“拥有一个安全的后门,强制生成新的加密密钥足够糟糕。但没有让收件人意识到这种变化是高度不道德的。他说,它呼吁质疑整个服务和业务的安全,隐私和可信度,“他说。
根据Ginsberg的说法,Facebook自2016年4月以来,Facebook对此漏洞的事实是双倍的。唇部服务。公司需要积极解决其安全措施。
“这些启示增加了加密后门的严重缺乏清晰度,最近由英国的新调查动力行为所带来的,”Ginsberg说。“虽然我们了解消费者愿意交易他们的个人信息以获取看似免费服务的个人信息Whatsapp现在是时候询问个人隐私的费用,并更加认真地开始隐私。“
争议的IP法案允许政府拦截私营公司持有的用户批量数据,毫无疑问犯罪活动,并迫使公司“维护技术能力”,以“维持技术能力”,以通过黑客和拦截允许数据收集。
“如果公司声称提供端到端的加密,如果发现妥协,他们应该清洁 - 无论是故意安装的后门或安全缺陷,公开权集团执行董事Jim Killock说。
民权集团自由通过众包平台收到超过40,000英镑的承诺,以支持计划在IP法案中挑战批量监测权的合法性。
众群呼吁迅速通过2017年2月8日提高10万英镑的初始目标。在撰写本文时,£50,000的新目标的44,910英镑已被承诺1,535英镑。