Петак, 21.01.2022. ✝ Верски календар € Курсна листа

„Фејсбук” може да чита шифроване поруке на „воцапу”

Процес поновне енкрипције омогућава чет-сервису да пресреће поруке корисника, открио Тобијас Белтер, криптограф и истраживач информатичке безбедности на Берклију
Енкрипција коју примењује „воцап” ослања се на генерацију јединствених безбедносних кључева (Фото Ројтерс/Н. Доће)

Иако „Фејсбук” тврди да нико не може да пресреће поруке на његовом чет-сервису „воцап”, чак ни сама компанија, „Гардијан” је ексклузивно открио да и те како могу да их читају због начина на који је спроведена енкрипција.

Борци за заштиту приватности упозорили су да ова рањивост представља огромну претњу за слободу говора и да би владине агенције широм света могле да је злоупотребе за шпијунирање корисника који су уверени да су њихове поруке безбедне.

Баш због тога што се представља као безбедна, поверљива платформа, „воцап” је постао омиљени алат комуникације за политичке активисте, дисиденте и дипломате.

Енкрипција коју примењује „воцап” ослања се на генерацију јединствених безбедносних кључева и користи хваљени протокол „Сигнал”, фирме „Опен висперс системс”, који гарантује сигурну комуникацију између пошиљаоца и примаоца, без могућности „упада” трећег лица.

Међутим, испоставило се да „воцап” може да наметне нову генерацију кључева корисницима у офлајн режиму и да их наведе да поново пошаљу сваку поруку која није обележена као испоручена, шифрујући је тим новим кључевима.

Прималац није свестан да је дошло до промене енкрипције, а пошиљалац ће добити обавештење о томе једино ако је у подешавањима одабрао да жели да прима упозорења о енкрипцији, али и у том случају тек пошто је порука поново послата.

Процес поновне енкрипције практично омогућава „воцапу” да пресреће и чита поруке корисника, указао је „Гардијан”.

Безбедносни пропуст је открио Тобијас Белтер, криптограф и истраживач информатичке безбедности на Берклију.

Он је рекао за „Гардијан” да то значи да када нека владина агенција затражи од „воцапа” податке о порукама, он може да им приступи због промене кључева.

Пропуст није саставни део протокола „сигнал”. Истоимена апликација коју препоручује и Едвард Сноуден, нема тај проблем.

На пример, ако прималац промени безбедносни кључ док је офлајн, послата порука неће бити испоручена, а прималац ће бити обавештен о промени у безбедносним кључевима без аутоматског поновног слања поруке.

Код „воцапа” неиспоручена порука се аутоматски поново шаље са новим кључем без упозорења за корисника, тако да он нема могућност да то спречи.

Белтер каже да је пријавио пропуст „Фејсбуку” још у априлу 2016. Речено му је да се зна за проблем, да је то „очекивано понашање” и да се ради активно на томе да га отклони. „Гардијан” је проверио и установио да проблем и даље постоји.

Иако може деловати да су угрожене само појединачне поруке, Белтер уверава да није тако.

„Користећи рањивост код поновног слања, сервер ’воцапа’ може касније да добије транскрипт целог разговора, а не само једне поруке”, објаснио је калифорнијски стручњак.

Професорка Кристи Бол, оснивач Центра за истраживање о информацијама, надзору и приватности, рекла је да овај енкрипцијски пропуст представља „златни рудник за безбедносне агенције” и „огромну издају поверења корисника”.

„Људи ће рећи да немају шта да крију, али немају појма какве се све информације траже и у какву везу доводе”, упозорила је Кристи Бол.

Коментари9
Молимо вас да се у коментарима држите теме текста. Редакција Политике ONLINE задржава право да – уколико их процени као неумесне - скрати или не објави коментаре који садрже осврте на нечију личност и приватан живот, увреде на рачун аутора текста и/или чланова редакције „Политике“ као и било какву претњу, непристојан речник, говор мржње, расне и националне увреде или било какав незаконит садржај. Коментаре писане верзалом и линкове на друге сајтове не објављујемо. Политика ONLINE нема никакву обавезу образлагања одлука везаних за скраћивање коментара и њихово објављивање. Редакција не одговара за ставове читалаца изнесене у коментарима. Ваш коментар може садржати највише 1.000 појединачних карактера, и сматра се да сте слањем коментара потврдили сагласност са горе наведеним правилима.
This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Emil
Primena Vukovog pravila "Piši kao što čitaš i čitaj kako je napisano" bez razmišljanja i u svakoj prilici dovodi do "vocapa". Meni je fascinantno da to Politici ne smeta, da ovaj primer varvarstva nad jezikom, jer se uklanja smisao iz reči, nije vrišteće pogrešan. Ćirilica je sasvim korektan alfabet, naš je, poštujmo i upotrebljavajmo je i negujmo je, ali ona nije nikakvo najsavršenije pismo na svetu, pa da se sve i svja piše fonetski po Vuku i baš našom ćirilicom. Malo mere i malo skromnosti ne bi škodilo.
Jana
Moje poruke sigurno ne mogu da citaju! Ne koristim whats up niti imam fb. Zasto bih ja nekome servirala moj zivot, lokacije na kojima se krecem i ljude sa kojima kontaktiram...? Bezbednost pre svega :)
Stevča
Nije VOCAP nego VOTS AP.
BK
A sta vam je to "vocap"? Ko vam kaze da ste pravilno napisali kad moze i "vatsap"? Drugim recima, zasto ne napisete rec u originalu, ljudi ce vec znati a ako ne znaju - naucice.
n ercegovac
„Безбедносни пропуст је открио ...” : Propust nego kako! Zar ONI da tako nešto urade namerno? Ma 'ajte molim vas - ni u ludilu. Sve drugo je teorija zavere...

ПРИКАЖИ ЈОШ

Комeнтар успeшно додат!

Ваш комeнтар ћe бити видљив чим га администратор одобри.

Овај веб сајт користи колачиће

Сајт politika.rs користи колачиће у циљу унапређења услуга које пружа. Прикупљамо искључиво основне податке који су неопходни за прилагођавање садржаја и огласа, надзор рада сајта и апликације. Подаци о навикама и потребама корисника строго су заштићени. Даљим коришћењем сајта politika.rs подразумева се да сте сагласни са употребом колачића.