WhatsApp-ს ჯგუფური შეტყობინებების კრიპტოგრაფიული მართვა არ გააჩნია

ეს სისუსტე ქმნის შესაძლებლობას, რომ ინსაიდერმა ან ჰაკერმა ჯგუფში არაავტორიზებული წევრები დაამატოს.

მსოფლიო უკვე რამდენიმე კვირაა განიხილავს ინციდენტს, როდესაც ჟურნალისტი თეთრი სახლის მაღალჩინოსნების ჯგუფურ ჩატში აღმოჩნდა, სადაც სამხედრო დარტყმის გეგმები განიხილებოდა. იმ შემთხვევაში, ჩავარდნა იმის შედეგი იყო, რომ ეროვნული უსაფრთხოების მაშინდელმა მრჩეველმა, მაიკ უოლცმა, შემთხვევით დაამატა The Atlantic-ის მთავარი რედაქტორი, ჯეფრი გოლდბერგი, ჯგუფურ ჩატში და ჩატის სხვა არცერთმა წევრმა ეს ვერ შენიშნა. მაგრამ რა მოხდება, თუ იგივეს გაკეთებას შეძლებს ვინმე, ვინც მესენჯერის პლატფორმას აკონტროლებს ან გატეხავს?

როდესაც საქმე WhatsApp-ს ეხება — Meta-ს კუთვნილ მესენჯერს, რომელსაც ხშირად აქებენ ბოლოდან ბოლომდე შიფრაციის შეთავაზებისთვის — აღმოჩნდა, რომ ეს შესაძლებელია.

თითქმის სუფთა ჯანმრთელობის ცნობა

მკვლევართა გუნდმა ეს ქცევა WhatsApp-ის ჯგუფური შეტყობინებების ახლახან გამოქვეყნებულ ფორმალურ ანალიზში დაადასტურა. მათ, მთლიანობაში, მესენჯერს დადებითი შეფასება მისცეს და დაადგინეს, რომ ის უსაფრთხოდ და WhatsApp-ის მიერ აღწერილისამებრ მუშაობს.

თუმცა, მათ დაადასტურეს ქცევა, რომელმაc ჯგუფური შეტყობინებების ზოგიერთი მომხმარებელი უნდა დააფიქროს: სხვა უსაფრთხოდ რეკლამირებული მესენჯერების მსგავსად — Signal-ის გამორჩეული გამონაკლისით — WhatsApp-ი არ უზრუნველყოფს ჯგუფის მართვის არანაირ კრიპტოგრაფიულ საშუალებას.

„ეს ნიშნავს, რომ WhatsApp-ის სერვერს შეუძლია, ჯგუფში ახალი წევრები დაამატოს,“ — წერს მარტინ ალბრეხტი, ლონდონის King's College-ის მკვლევარი. „სწორი კლიენტი — ოფიციალური კლიენტების მსგავსად — ამ ცვლილებას აჩვენებს, მაგრამ მას ხელს ვერ შეუშლის. ამრიგად, ნებისმიერი ჯგუფური ჩატის წაკითხვა პოტენციურად შესაძლებელია, თუ არ მოხდება იმის გადამოწმება, თუ ვინ დაემატა ჩატს.“

ამ სისუსტის ექსპლუატაციის შანსი ფეხბურთელი მშობლების WhatsApp ჯგუფში, სავარაუდოდ, ნულის ტოლია. მეორე მხრივ, სახელმწიფო აქტორის მცდელობა, შეაღწიოს სამთავრობო მაღალჩინოსნების ჯგუფში, რომლებიც მგრძნობიარე ეროვნული უსაფრთხოების საკითხებს განიხილავენ, სავსებით შესაძლებელია. ასეთ შემთხვევაში, WhatsApp-ის ადმინისტრატორს, საკმარისი სისტემური პრივილეგიებით, შეუძლია, არსებულ ჯგუფში იმდენი მომხმარებელი დაამატოს, რამდენიც სურს. იგივეს გაკეთება შეუძლია თავდამსხმელსაც, რომელმაc WhatsApp-ის ინფრასტრუქტურა გატეხა.

როგორ მუშაობს Signal-ი უკეთესად?

ჯგუფში ახალი წევრების დამატებისას კრიპტოგრაფიული გარანტიების არქონით WhatsApp-ი მარტო არ არის. 2022 წელს, მკვლევრებმა დაადგინეს, რომ Matrix-საც იგივე პრობლემა ჰქონდა. ამასობაში, Telegram-ი ჯგუფური შეტყობინებებისთვის ბოლოდან ბოლომდე შიფრაციას საერთოდ არ გვთავაზობს.

ამის საპირისპიროდ, ღია კოდის მესენჯერი Signal-ი იძლევა კრიპტოგრაფიულ გარანტიას, რომ ახალი წევრების დამატება მხოლოდ ჯგუფის ადმინისტრატორად დანიშნულ არსებულ წევრს შეუძლია.

Signal-ში „კრიპტოგრაფიული ჯგუფის მართვა“ არის იმპლემენტირებული. მარტივად რომ ვთქვათ, ჯგუფის ადმინისტრატორი, მომხმარებელი, ხელს აწერს შეტყობინებას, რომელშიც ნათქვამია: „ალისა, ბობი და ჩარლი ამ ჯგუფში არიან“. შემდეგ, ჯგუფის ყველა სხვა წევრი თავის გადაწყვეტილებას იმაზე, თუ ვისთვის დაშიფროს შეტყობინებები, ამ კრიპტოგრაფიულად ხელმოწერილ შეტყობინებებს ემყარება. სერვერს ამ ხელმოწერის გაყალბება არ შეუძლია.

თუმცა, მესენჯერების უმეტესობა, Signal-ის ჩათვლით, თავისი მომხმარებლების ვინაობას არ ამოწმებს. ეს ნიშნავს, რომ Signal-ს არ შეუძლია, გადაამოწმოს, რომ ანგარიშის, სახელად ალისა, უკან ნამდვილად ალისა დგას.

დაბრკოლებები, რომლებიც WhatsApp-ის სერვერის იძულებისთვისაა საჭირო, დაამატოს მომხმარებელი არსებულ ჯგუფში, საკმარისად მაღალია, რომ ეს სისუსტე, სავარაუდოდ, მხოლოდ განსაკუთრებულ შემთხვევებში იქნება გამოყენებული. თუმცა, ის ფაქტი, რომ ეს სისუსტე საერთოდ არსებობს, კარგი მიზეზია იმ ჯგუფებისთვის, რომლებიც მართლაც მგრძნობიარე შეტყობინებებს ცვლიან, ამ აპლიკაციას თავი აარიდონ.

განცხადებაში, WhatsApp-მა თქვა: „ჩვენ განვიხილეთ მკვლევრების ნაშრომი და ვაფასებთ მათ შრომას... ყველა ჯგუფში, თქვენ იღებთ შეტყობინებას, როდესაც ვინმე ახალი უერთდება... ჩვენ მუდმივად ვამატებთ დაცვის ახალ ფენებს და ამას მომავალშიც გავაგრძელებთ.“

ITNEWS-ის მეგობარი ვებ-გვერდია ITJOBS.GE. ITJOBS.GE-ზე ორგანიზაციებს და ფიზიკურ პირებს, აქვთ საშუალება განათავსონ როგორც ვაკანსები, ტრენინგები და ივენთები ასევე კონკრეტული Tech დავალებები, რისთვისაც ეძებენ დეველოპერებს, დიზაინერებს, სეო სპეციალისტებს და ა.შ. ITJOBS.GE - იპოვე დასაქმების საუკეთესო შესაძლებლობები ან გამოაქვეყნე ვაკანსია / დავალება და მიაწვდინე ხმა სასურველ აუდიტორიას.