Iako „Fejsbuk” tvrdi da niko ne može da presreće poruke na njegovom čet-servisu „whatsapp”, čak ni sama kompanija, „Gardijan” je ekskluzivno otkrio da i te kako mogu da ih čitaju zbog načina na koji je sprovedena enkripcija.
Borci za zaštitu privatnosti upozorili su da ova ranjivost predstavlja ogromnu pretnju za slobodu govora i da bi vladine agencije širom sveta mogle da je zloupotrebe za špijuniranje korisnika koji su uvereni da su njihove poruke bezbedne.
Baš zbog toga što se predstavlja kao bezbedna, poverljiva platforma, „whatsapp” je postao omiljeni alat komunikacije za političke aktiviste, disidente i diplomate.
Enkripcija koju primenjuje „whatsapp” oslanja se na generaciju jedinstvenih bezbednosnih ključeva i koristi hvaljeni protokol „Signal”, firme „Open vispers sistems”, koji garantuje sigurnu komunikaciju između pošiljaoca i primaoca, bez mogućnosti „upada” trećeg lica.
Međutim, ispostavilo se da „whatsapp” može da nametne novu generaciju ključeva korisnicima u oflajn režimu i da ih navede da ponovo pošalju svaku poruku koja nije obeležena kao isporučena, šifrujući je tim novim ključevima.
Primalac nije svestan da je došlo do promene enkripcije, a pošiljalac će dobiti obaveštenje o tome jedino ako je u podešavanjima odabrao da želi da prima upozorenja o enkripciji, ali i u tom slučaju tek pošto je poruka ponovo poslata.
Proces ponovne enkripcije praktično omogućava „whatsapp” da presreće i čita poruke korisnika, ukazao je „Gardijan”. Bezbednosni propust je otkrio Tobijas Belter, kriptograf i istraživač informatičke bezbednosti na Berkliju. On je rekao za „Gardijan” da to znači da kada neka vladina agencija zatraži od „whatsapp” podatke o porukama, on može da im pristupi zbog promene ključeva.
Propust nije sastavni deo protokola „signal”. Istoimena aplikacija koju preporučuje i Edvard Snouden, nema taj problem.
Na primer, ako primalac promeni bezbednosni ključ dok je oflajn, poslata poruka neće biti isporučena, a primalac će biti obavešten o promeni u bezbednosnim ključevima bez automatskog ponovnog slanja poruke.
Kod „whatsapp” neisporučena poruka se automatski ponovo šalje sa novim ključem bez upozorenja za korisnika, tako da on nema mogućnost da to spreči.
Belter kaže da je prijavio propust „Fejsbuku” još u aprilu 2016. Rečeno mu je da se zna za problem, da je to „očekivano ponašanje” i da se radi aktivno na tome da ga otkloni. „Gardijan” je proverio i ustanovio da problem i dalje postoji. Iako može delovati da su ugrožene samo pojedinačne poruke, Belter uverava da nije tako.
„Koristeći ranjivost kod ponovnog slanja, server ’vocapa’ može kasnije da dobije transkript celog razgovora, a ne samo jedne poruke”, objasnio je kalifornijski stručnjak.
Profesorka Kristi Bol, osnivač Centra za istraživanje o informacijama, nadzoru i privatnosti, rekla je da ovaj enkripcijski propust predstavlja „zlatni rudnik za bezbednosne agencije” i „ogromnu izdaju poverenja korisnika”.
„Ljudi će reći da nemaju šta da kriju, ali nemaju pojma kakve se sve informacije traže i u kakvu vezu dovode”, upozorila je Kristi Bol.
Pratite Krstaricu na www.krstarica.com