WhatsApp v priebehu roka 2016 zaviedol do svojich konverzácií end-to-end šifrovanie, ktoré výrazne zvýšilo bezpečnosť komunikácie používateľov pred možným odpočúvaním treťou stranou. Ako však teraz vysvitlo, nie všetko je úplne v poriadku.

Nová zraniteľnosť v komunikátore WhatsApp sa týka skupinových konverzácií, ktoré za určitých okolností môžu napadnúť hackeri a získať dáta z komunikácie. Chybu, respektíve nedostatok, ktorý môže viesť k zneužitiu, odhalili nemeckí výskumníci z univerzity v Bochume. O téme informoval aj portál DigitalTrends.

Neželaný člen v skupinových konverzáciách

Zraniteľnosť sa nedotýka štandardnej komunikácie medzi dvomi používateľmi, ohrozené sú však súkromné skupinové konverzácie, do ktorých môžu byť pridávaní účastníci. Práve tento proces pritom spôsobuje problém. Ide o to, že pozvánky odoslané administrátorom skupiny nie sú posielané a spracovávané pri end-to-end šifrovaní. Niektoré dôležité dáta sú  teda uložené na serveroch spoločnosti v „čitateľnej“ forme.

Riziko spočíva v tom, že ak by niekto získal prístup k serverom WhatsApp, mohol by prakticky do ktorejkoľvek skupinovej konverzácie pridať neoprávneného člena. Ten následne môže získať citlivé informácie o používateľoch, ako aj čítať všetky následné správy (komunikácia, ktorá prebiehala ešte pred pridaním neoprávneného člena by zostala pre neho nečitateľná).

Riziko nie je veľké, ale…

Podvodné pridanie člena do skupinovej konverzácie je možné len s prístupom k serverom WhatsApp. Možnosti zneužitia sú teda obmedzené, ale stále dostupné. Prístup by napríklad mohli získať hackeri pri útoku na servery spoločnosti, alebo sa môže stať, že niektorý zo zamestnancov s potrebným prístupom využije zraniteľnosť k podvodnému konaniu. No a v neposlednom rade sú tu aj tajné služby.

Používatelia sú tak nútení momentálne dôverovať spoločnosti WhatsApp, respektíve Facebooku, ktorý komunikačnú aplikáciu vlastní, že ich servery zachovajú v bezpečí a spracovanie pozvánok do skupín prebehne v poriadku. Riziko zneužitia je teda aj vzhľadom na okolnosti malé, no stále ide o narušenie princípu end-to-end šifrovanej súkromnej komunikácie.

Kto to je?

Určitú formu kontroly však predsa len majú aj členovia skupinovej konverzácie. WhatsApp totiž na pridanie nového používateľa do skupiny vždy upozorňuje a je jedno, či by išlo o štandardné, alebo podvodné pridanie nového člena. Takýmto spôsobom by teda účastníci konverzácie mohli zistiť, že niečo nie je v poriadku.

Neponáhľajú sa

Otázne je však, aké kroky teraz WhatsApp podnikne. Hovorca spoločnosti, vo vyjadrení pre portál Wired potvrdil, že vedia o zisteniach nemeckých výskumníkov. Zároveň však poukazuje na to, že riziko zneužitia je len teoretické, pričom používatelia samotní by o takomto narušení vedeli vďaka už spomínanému upozorneniu v skupine, respektíve pri pohľade na zoznam členov komunikácie.

Nenechaj si ujsť
Francúzi chcú pokutovať WhatsApp. Vadí im jedna zásadná chyba

Hovorca tiež priznáva, že oprava by pravdepodobne neumožnila ďalej využívať funkciu „Pozývací odkaz“, vďaka ktorej môžu do skupiny pristupovať používatelia cez zdieľaný link. Zatiaľ to teda vyzerá, že spoločnosť sa s riešením zraniteľnosti veľmi neponáhľa a o probléme pritom vie už od júla. Takéto konanie by teda niektorých používateľov mohlo prinútiť poobzerať sa po alternatívach. Ktorú aplikáciu využívaš na komunikáciu?