מחקר חדש מגלה: ההצפנה בוואטסאפ לא תקפה על קבוצות
חוקרים מצאו שוואטסאפ לא כוללת שכבת הגנה קריפטוגרפית על ניהול קבוצות, מה שמאפשר למי ששולט בשרת לצרף משתתפים ללא אישור
וואטסאפ. תמונה: Pexels
החשיבות של שמירה על סודיות עלתה לאחרונה לכותרות, כשהעיתונאי ג'ף גולדברג צורף בטעות לקבוצת סיגנל ונחשף לפרטים חסויים על תקיפה בתימן. זו אמנם הייתה טעות אנוש, אבל כעת מתברר כי גם בוואטסאפ לא כל המידע שלכם מוצפן כראוי.
מחקר חדש גילה שלמרות ההבטחות על הצפנה מקצה לקצה, וואטסאפ מאפשרת למי ששולט בשרת, או למי שפורץ אליו, להוסיף משתמשים חדשים לקבוצה קיימת מבלי שאף אחד מהמשתמשים יאשר את ההוספה. חוקרים מקינגס קולג' בלונדון ביצעו ניתוח פורמלי של מנגנון ההצפנה של WhatsApp, שכלל פירוק של האפליקציה, בחינה של הפרוטוקולים והוכחות מתמטיות לתיקוף ההגנה.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
המסקנה: אמנם ההצפנה של ההודעות תקינה, אבל Whatsapp לא כוללת שום שכבת הגנה קריפטוגרפית שמנהלת את מי רשאי לצרף אחרים לקבוצה. המשמעות היא שכל משתמש יכול לשלוח לשרת הודעה לא חתומה שמכילה רשימה חדשה של חברי הקבוצה. השרת מאשר את הבקשה ומודיע לשאר המשתתפים על חברים חדשים, ללא אימות שמי שביקש לצרף אותם הוא אכן מנהל קבוצה או אפילו חבר קיים.
כלומר: כל מי שיש לו גישה לשרת (למשל, מנהל מערכת ב־Meta), או כל גורם שמצליח לפרוץ לתשתית של וואטסאפ, יכול להוסיף משתתפים לקבוצה קיימת בלי שמישהו יאשר את זה. אם אתם בקבוצה של שלושה אנשים, סביר שתשימו לב. אבל אם הקבוצה שלכם מונה עשרות או מאות משתתפים? הסיכוי שתפספסו את ההתראה הרבה יותר גבוה.
צדיקה בסדום
החוקרים מציינים כי מבין שירותי המסרים הפופולריים, דווקא Signal מיישם ניהול קבוצות מוצפן באמת: שם רק מנהל קבוצה יכול לצרף חברים, וכל שינוי ברשימת המשתמשים מחייב חתימה דיגיטלית שנבדקת אצל כל המשתתפים. ב־Signal מזהים כל שינוי במפתחות, מקבלים התראות ייעודיות ויש מנגנון (GroupMasterKey) שמונע מהשרת לדעת מי נמצא בקבוצה. בוואטסאפ, המידע הזה גלוי לחלוטין.
זה מסוכן? תלוי מי אתם
החוקרים לא טוענים שמדובר בפרצה שקל לנצל, להפך – צריך שליטה פנימית או פריצה לתשתית השרתים של מטא, אבל הם מציינים שבמקרים שבהם מדובר בקבוצות עם מידע רגיש, עצם קיומה של חולשה כזו מספיקה כדי להימנע מהשירות.
בתגובה למחקר, שנשלח ישירות לחברה, מסרה Whatsapp כי הם "מעריכים את עבודת החוקרים", והוסיפו: "באפליקציה שלנו מוצגת הודעה כשהצטרף אדם חדש לקבוצה, וניתן להפעיל התראות אבטחה שמתריעות על שינויי מפתחות. אנחנו ממשיכים לשפר את שכבות ההגנה ונוסיף עוד בעתיד".
