„Фејсбук” може да чита шифроване поруке на „воцапу”

Иако „Фејсбук” тврди да нико не може да пресреће поруке на његовом чет-сервису „воцап”, чак ни сама компанија, „Гардијан” је ексклузивно открио да и те како могу да их читају због начина на који је спроведена енкрипција.

Борци за заштиту приватности упозорили су да ова рањивост представља огромну претњу за слободу говора и да би владине агенције широм света могле да је злоупотребе за шпијунирање корисника који су уверени да су њихове поруке безбедне.

Баш због тога што се представља као безбедна, поверљива платформа, „воцап” је постао омиљени алат комуникације за политичке активисте, дисиденте и дипломате.

Енкрипција коју примењује „воцап” ослања се на генерацију јединствених безбедносних кључева и користи хваљени протокол „Сигнал”, фирме „Опен висперс системс”, који гарантује сигурну комуникацију између пошиљаоца и примаоца, без могућности „упада” трећег лица.

Међутим, испоставило се да „воцап” може да наметне нову генерацију кључева корисницима у офлајн режиму и да их наведе да поново пошаљу сваку поруку која није обележена као испоручена, шифрујући је тим новим кључевима.

Прималац није свестан да је дошло до промене енкрипције, а пошиљалац ће добити обавештење о томе једино ако је у подешавањима одабрао да жели да прима упозорења о енкрипцији, али и у том случају тек пошто је порука поново послата.

Процес поновне енкрипције практично омогућава „воцапу” да пресреће и чита поруке корисника, указао је „Гардијан”.

Безбедносни пропуст је открио Тобијас Белтер, криптограф и истраживач информатичке безбедности на Берклију.

Он је рекао за „Гардијан” да то значи да када нека владина агенција затражи од „воцапа” податке о порукама, он може да им приступи због промене кључева.

Пропуст није саставни део протокола „сигнал”. Истоимена апликација коју препоручује и Едвард Сноуден, нема тај проблем.

На пример, ако прималац промени безбедносни кључ док је офлајн, послата порука неће бити испоручена, а прималац ће бити обавештен о промени у безбедносним кључевима без аутоматског поновног слања поруке.

Код „воцапа” неиспоручена порука се аутоматски поново шаље са новим кључем без упозорења за корисника, тако да он нема могућност да то спречи.

Белтер каже да је пријавио пропуст „Фејсбуку” још у априлу 2016. Речено му је да се зна за проблем, да је то „очекивано понашање” и да се ради активно на томе да га отклони. „Гардијан” је проверио и установио да проблем и даље постоји.

Иако може деловати да су угрожене само појединачне поруке, Белтер уверава да није тако.

„Користећи рањивост код поновног слања, сервер ’воцапа’ може касније да добије транскрипт целог разговора, а не само једне поруке”, објаснио је калифорнијски стручњак.

Професорка Кристи Бол, оснивач Центра за истраживање о информацијама, надзору и приватности, рекла је да овај енкрипцијски пропуст представља „златни рудник за безбедносне агенције” и „огромну издају поверења корисника”.

„Људи ће рећи да немају шта да крију, али немају појма какве се све информације траже и у какву везу доводе”, упозорила је Кристи Бол.