ווטסאפ מכחישה טענות ל"דלת אחורית" באפליקציה
יישום ההודעות המיידיות שהוא חלק משגרת יומם של יותר ממיליארד משתמשים פעילים בחודש, אמור להיות כזה המוצפן מקצה לקצה ● משמעות הדבר - איש לא יכול או יוכל לחטט בהודעות שהועברו בו ● אלא שחוקר אבטחה עצמאי טוען שלא כך
האפליקציה הפופולרית מאוד לשליחת הודעות מידיות, ווטסאפ (WhatsApp) מכחישה טענות על פגיעות אבטחה במוצר שלה – או כפי שהפרצה מכונה – "דלת אחורית" (backdoor) – שהיא פתח המאפשר חדירה למאגרי הנתונים של היישום.
החברה אמרה כי מה שנחשב כ"דלת אחורית" היא למעשה תכונת אבטחה הקשורה להליך משלוח ההודעות, אשר נועדה להבטיח שהודעות לא ילכו לאיבוד בזמן המעבר.
פתח תמוה שמאפשר הורדת וקריאת מסרים
על פי התיאור, בעיית האבטחה שנחשפה בשנת 2016 מאפשרת ליירט ולקרוא הודעות שנשלחו דרך הפלטפורמה. עוד נמסר כי הנושא זוהה לראשונה על ידי חוקר אבטחה ודווח לפייסבוק (Facebook), אך הסתבר כי החברה שווטסאפ נמצאת בבעלותה לא עבדה באופן פעיל על תיקון הבאג.
דיווח בגרדיאן (Guardian), אשר מתאר את הפגיעות בתור "דלת אחורית", מציין כי כשחוקר האבטחה העצמאי טוביאס בואלטר, שזיהה את הבעיה באפריל האחרון, דיווח על כך לפייסבוק, הוא נענה כי זו "פעולה צפויה" של היישום. העיתון טוען כי אימת את הפגיעות וזו עדיין קיימת.
ווטסאפ זכתה להערכה בשל ההצפנה מקצה לקצה שהפלטפורמה מתגאה בה, ואשר מאפשרת למשתמשיה להיות בטוחים שהודעותיהם לא ייחשפו לעיניים לא רצויות, כאשר בין העיניים הכי פחות רצויות נכללות עיני הממשל והמשטרה, שהתעמתו בעבר עם אפל (Apple) על אותו עניין עקרוני, בפרשת ה-iPhone של הטרוריסט מסן ברנרדינו.
הצפנה בקוד סגור – מחייבת לסמוך על החברה
למרות היותה אפליקציית שליחת הודעות מיינסטרימית, צברה ווטסאפ שבחים והערכה מצד מומחי אבטחה בזכות ההצפנה מקצה לקצה ב-Signal Protocol של הפלטפורמה, שנכנסה לתפקוד מלא באפריל בשנה שעברה.
עם זאת, קוד החברה נשאר קוד סגור, כלומר שהמשתמשים נדרשו תמיד לסמוך על טענות החברה שאין אפשרות להעביר את הקוד שלה מבדקים חיצוניים.
ראוי לציין שווטסאפ עובדת עם מערכות OWS (ר"ת Open Whisper Systems) – הארגון שעומד מאחורי Signal Protocol – כדי ליישם את הצפנת E2E על הפלטפורמה.
טענה שקרית
"הגרדיאן פרסם סיפור הבוקר בטענה כי החלטת עיצוב מכוונת בווטסאפ שמונעת מאנשים לאבד הודעות היא "דלת אחורית" המאפשרת לממשלות לכפות על ווטסאפ לפצח את זרם ההודעה. טענה זו היא שקרית", כך אמר דובר החברה בהצהרה שנשלחה ל-TechCrunch.
"ווטסאפ לא נותנת לממשלות "דלת אחורית" לתוך המערכות שלה ותילחם בכל בקשת ממשלה ליצור דלת אחורית", הודיעה החברה בהחלטיות.
הפרצה – מונעת ממיליוני הודעות ללכת לאיבוד
"ההחלטה העיצובית שהוזכרה בסיפור של הגרדיאן מונעת ממיליוני הודעות ללכת לאיבוד, ו-וואטסאפ מציעה לאנשים הודעות אבטחה שיידעו אותם בסיכוני אבטחה אפשריים", אמר בריאן אקטון, מייסד שותף של ווטסאפ ל-Reddit.
מוקסי מרלינספייק, אשר עיצב את הצפנת ווטסאפ, הסביר בבלוג של החברה כי היישום מציע למשתמשיו אפשרות לקבוע העדפה אשר מודיעה להם בכל פעם שקוד האבטחה של איש קשר משתנה.
בפוסט כתב גם מרלינספייק שמשתמשי ווטסאפ יקבלו מעכשיו את כל היתרונות של פרוטוקול הצפנה חזק, מודרני, בקוד פתוח, מתקדם ומאובטח למערכות הודעות אסינכרוניות, שנועדו להפוך את ההצפנה מקצה לקצה בהודעות לחלקה ככל הניתן.
תגובות
(0)