Facebookin omistamasta WhatsAppista on paljastunut tietoturva-aukko, joka voi mahdollistaa palvelulle pääsyn käsiksi viesteihin sekä esimerkiksi niiden jakamisen viranomaisille.
WhatsApp toi lähettäjältä vastaanottajalle asti täysin salatut viestit palveluunsa viime keväänä. Tämän muutoksen jälkeen WhatsApp ei ole päässyt viesteihin enää lainkaan käsiksi missään vaiheessa – lukuun ottamatta nyt otsikoihin noussutta poikkeusta. Asiasta uutisoi brittiläinen Guardian, jonka raporttiin monet muut ovat jo tarttuneet.
WhatsAppin tietoturva-aukossa ei ole kyse haavoittuvuudesta, vaan tavasta jolla sovelluksen toiminta on suunniteltu varsin käyttäjäystävälliseksi. Ilmeisesti toimintatapa on tarkoin harkittu eikä asia itsessään ole esillä ensimmäistä kertaa.
MAINOS (ARTIKKELI JATKUU ALLA)
Kyse on salausavainten vaihtamisesta, jonka WhatsApp voi pakottaa tapahtumaan käyttäjän ollessa offline-tilassa eikä oletusasetuksin tästä kerrota viestin lähettäjälle mitään. Sen sijaan uudelleen WhatsApp käynnistettäessä viestit lähetetään automaattisesti uudella salausavaimella, jollei niitä ole vielä toimitettu vastaanottajalle.
Erikseen WhatsAppin asetuksista on mahdollista kytkeä päälle turvailmoitukset, jotka kertovat jos salausavainta on muutettu. Tämäkään ei estä viestien mahdollista paljastumista palvelulle, mutta tuo esiin tapahtuneen.
WhatsAppin ei ole mahdollista päästä käsiksi salattuihin viesteihin jälkikäteen, vaan ainoastaan jos salausavain vaihtuu ennen viestin onnistunutta toimitusta vastaanottajalle.
MAINOS (ARTIKKELI JATKUU ALLA)
Kovinkaan monelle käyttäjälle WhatsAppin salauksen hienoisesta vuotamisesta ei todennäköisesti ole mitään haittaa. Viestien salaushan tuli palveluun vasta viime keväänä, joten sitä ennen pääsy viesteihin olisi ollut palvelulle arkipäivää.
Silti sopii kysyä, miksi WhatsApp esimerkiksi piilottelee ilmoitusta salausavainten muuttumisesta. Kyse on todennäköisesti halusta tehdä palvelusta mahdollisimman sujuvasti toimiva peruskäyttäjälle ilman erikoisia ilmoituksia, mutta samalla turvallisuus kuitenkin kärsii – jos ei paljoa, niin ainakin hivenen. Takaoveksi toiminnan väittäminen on kuitenkin naurettavaa suurentelua, toteaa muun muassa WhatsAppin käyttämää Signal-salausta kehittämässä aiemmin ollut Frederic Jabobs Twitterissä.
https://twitter.com/FredericJacobs/status/819866979020443648
It's ridiculous that this is presented as a backdoor. If you don't verify keys, authenticity of keys is not guaranteed. Well known fact.
— Frederic Jacobs (@FredericJacobs) January 13, 2017
MAINOS (ARTIKKELI JATKUU ALLA)
Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla
Salasana hukassa?
Etkö ole vielä rekisteröitynyt? Rekisteröidy tästä »