La mayoría de la gente cree que el cifrado de extremo a extremo es la mejor manera de proteger su comunicación secreta de espionaje, y lo hace, pero pueden ser interceptados si no se aplican correctamente.
Después de la introducción de " cifrado de extremo a extremo de forma predeterminada " el año pasado, WhatsApp se ha convertido en la mayor plataforma de mensajería segura del mundo, con más de mil millones de usuarios en todo el mundo.
Pero si cree que sus conversaciones son completamente seguras de una manera que nadie, ni siquiera de Facebook, la empresa propietaria de WhatsApp, puede interceptar los mensajes entonces usted está muy equivocado, al igual que la mayoría de nosotros y no es un concepto nuevo.
Aquí está la patada: servicio de mensajería cifrado de extremo a extremo, como WhatsApp y Telegrama , contiene una puerta trasera que se puede utilizar, si es necesario, por la empresa y de los piratas informáticos de golf, o las agencias de inteligencia para interceptar y leer su extremo a -fin mensajes cifrados, y eso es todo sin romper el cifrado.
Y que es puerta trasera - TRUST .
Sin lugar a dudas la mayor parte de los servicios de mensajes cifrados generar y almacenar fuera de línea privada de cifrado de claves del dispositivo y sólo la emisión en la clave pública a otros usuarios a través del servidor de la empresa.
Al igual que, en el caso de WhatsApp, tenemos que confiar en la empresa que no alterará mecanismo de intercambio de claves pública entre el emisor y el receptor para llevar a cabo el ataque man-in-the-middle para husmear en su comunicación privada cifrada.
Tobias Boelter, investigador de seguridad de la Universidad de California, ha informado de que el cifrado de extremo a extremo de WhatsApp, basada en el protocolo de señal, se ha implementado de manera que si WhatsApp o cualquier hacker intercepta los chats mediante la explotación de mecanismo de intercambio de claves basado en la confianza , nunca se llega a saber si se ha producido algún cambio en la clave de cifrado en el fondo. Sí, eso es posible.
Vamos a entender la puerta trasera Con un escenario simple:
Supongamos que el usuario A y B chateando, y para el que WhatsApp ha intercambiado automáticamente sus claves públicas a través de su servidor.Ahora, cada mensaje enviado desde el usuario A conseguirá encriptada usando la clave privada de A y la clave pública de B, que puede ser descifrado por el usuario B solamente, utilizando la clave pública de A y la clave privada de B.
Supongamos: El usuario B es fuera de línea, y el usuario a ha enviado algunos mensajes al usuario B. Pero mientras tanto, por alguna razón, el usuario B tuvo que cambiar el dispositivo y reconfigurado misma cuenta de Whatsapp en él. Una nueva instalación forzará el usuario B para volver a generar un nuevo par de claves públicas y privadas para la misma cuenta.
Y, después, cada vez que el usuario B se situará en línea, el dispositivo recibirá resto de los mensajes no entregados se ha enviado por A.
Pero ¿Cómo B usuario puede descifrar mensajes, que se suponía iban a ser cifrado con la clave pública de edad de B?
Eso es porque, cuando el usuario B vuelva a conectarse, Whatsapp intercambiar automáticamente nuevas claves de b / w usuarios sin informarles y para entregar con éxito mismos mensajes, WhatsApp de A volverá a cifrar utilizando la clave pública recién recibido de B.
Aquí es donde el puerta trasera se basa en el mecanismo entero!
Si un hacker (supongamos que el usuario C) reemplazar intencionadamente la clave pública de B con su propia, todos los mensajes no entregados obtendrá automáticamente vuelve a cifrar y entregado a C, que sólo puede ser descifrado por la clave privada del usuario C (hacker).
Y es un hecho bien conocido que la usabilidad y la seguridad son inversamente proporcionales entre sí, y la elección de la usabilidad de la seguridad no termina bien.
"WhatsApp ha implementado una puerta trasera en el protocolo de la señal, lo que en sí la capacidad de forzar la generación de nuevas claves de cifrado para los usuarios fuera de línea y para hacer que los mensajes del remitente Volver a cifrar con claves nuevas y enviarlos de nuevo por todos los mensajes que no han sido marcados como se entrega. El destinatario no está al tanto de este cambio en el cifrado. " The Guardian informa.Sin embargo, los usuarios pueden recibir notificaciones cuando los códigos de seguridad cambian, sólo si " las notificaciones de seguridad opción" ha sido puesto en ON manualmente a partir de los ajustes de la aplicación.
Mientras tanto, Fredric Jacobs, que era iOS Developer en Abrir Whisper Systems, también reaccionó en twitter y admitió que " si no verifica las claves de señal / WhatsApp / ... puede man-in-the-middle sus comunicaciones, " no obstante él también añadió: " es ridículo que esto se presenta como una puerta trasera. Si no verifica llaves, autenticidad de las claves no está garantizada. hecho bien conocido. "Tenga en cuenta que esta puerta trasera no tiene nada que ver con el protocolo de encriptación de la señal, creado por Abiertas Whisper Systems. Es uno de los protocolos de cifrado más seguros si se aplica correctamente.
Facebook no ha sido resuelta Desde junio de 2016
Boelter dijo a The Guardian que informó de la puerta trasera a Facebook en abril de 2016 - el momento en que WhatsApp implementa cifrado de extremo a extremo por defecto en su aplicación de mensajería.
Sin embargo, el investigador se le dijo en respuesta que Facebook ya era consciente del problema y lo justificó como un " comportamiento esperado ."
"WhatsApp dice que implementa la puerta de atrás para ayudar a la facilidad de uso. Si la puerta trasera no está en su lugar, los mensajes enviados a un usuario fuera de línea, que luego cambia su teléfono inteligente o tiene que volver a instalar WhatsApp y al hacerlo, genera nuevas claves de seguridad para sí mismos, permanecería sin entregar una vez que el usuario entra de nuevo en línea ". dice The Guardian.
"En muchas partes del mundo, las personas cambian con frecuencia los dispositivos y tarjetas SIM. En estas situaciones, queremos para asegurarse de que los mensajes de las personas se entregan, no se pierde en el tránsito." un portavoz WhatsApp dijo a The Guardian.Y sí, la puerta de atrás, todavía existe en WhatsApp.
Cómo protegerse del espionaje?
Para prevenir la posibilidad de ataques MITM, WhatsApp también ofrece una tercera capa de seguridad en su aplicación a través de la cual se puede verificar las claves de otros usuarios con los que se está comunicando, ya sea mediante el escaneo de un código QR ( inconveniente: la presencia física requerida ) o comparando un número de 60 dígitos por otro medio de comunicación.
" Los códigos de seguridad son simplemente versiones más visibles de la llave especial compartida entre usted - y no se preocupe, no es la clave en sí, que siempre ha mantenido en secreto. "Sin embargo, esta opción sólo es útil cuando se está buscando activamente para verificar la autenticidad de las claves de sesión y, como sabemos, sólo una consciente de la privacidad del usuario paranoide en miles haría eso.
Alternativa segura a Whatsapp
Oh! Usted debe estar pensando - ¿Qué servicio de mensajería segura a continuación, ofrece protección contra tal confianza rota y la interceptación?
Hay varias alternativas, como " señal privada Mensajero ", en sí, desarrollado por Open Whisper Sistemas y más se recomienda la aplicación de mensajes seguros.
No hay comentarios:
Publicar un comentario