וואטאסאפ נגד העליהום בטוויטר: השירות שלנו מאובטח

סטודנט הולנדי למדעי המחשב פירסם מאמר בו הוא מפרט את פירצת האבטחה, על פיה ההצפנה של רשת המסרים המיידיים קלה מידי לפענוח.

מקור: יח"צ

מקור: יח"צ

האם אחת מרשתות המסרים המידיים הפופולאריות בעולם קצת פחות מאובטחת משחשבנו? על פי הדיווחים האחרונים, חוקר האבטחה Thijs Alkemade טוען בפוסט בבלוג האישי שלו כי איתר חור אבטחה ב-WhatsApp המאפשר לפענח את ההצפנה של רשת ההודעות. לפירצה יש פוטנציאל ענק להשפיע על כ-25 מיליארד הודעות הנשלחות תוך שימוש בשירות מידי יום.

סכנה אמיתית או דיון בטוויטר?

Alkemade, סטודנט למדעי המחשב ומתמטיקה באוניברסיטת אוטרכט, הולנד אשר בין היתר משמש כמפתח ראשי של תוכנת המסרים המידיים בקוד פתוח הפופולארית למק – Adium, פירט במאמר שפירסם כי תכנון לקוי של יישום ההצפנה של WhatsApp עלול לאפשר לתוקפים ליירט ולפענח הודעות. על פי Alkemade, הבעיה העיקרית היא שאותו המפתח משמש להצפנת הזרמים היוצאים והנכנסים מהשרת המרכזי של WhatsApp.

"RC4 הוא למעשה PRNG, או יותר נכון מחולל מספרים אקראי היוצר זרם של בתים אשר מופעלת עליו הפעולה הלוגית XOR עם הטקסט שצריך לעבור את תהליך ההצפנה. על ידי שימוש בפעולה הפוכה של XOR עם אותו זרם הנתונים, ניתן לפענח את הטקסט המוצפן חזרה", כך סיפר Alkemade. "אין שום דבר שהמשתמש בשירות יכול לעשות – פרט מלהפסיק את השימוש באפליקציה ולהמתין שצוות הפיתוח של האפליקציה יתקן את התקלה". מדובר למעשה בתהליך דומה לפענוח סיסמא של רשת אלחוטית לא מאובטחת כמו שצריך – על ידי יירוט של אחד מזרמי הנתונים המועברים לרשת ופענוח הנתונים המוצפנים.

ב-WhatsApp לא מתרגשים

בעוד החוקרים נשמעים דרמטיים למדי, ב-WhatsApp נשארים אדישים למדי לנוכח הדיווחים האחרונים והדיונים שהתנהלו בעיקר על גבי רשת המיקרובלוגינג טוויטר. מפתחי האפליקציה עומדים על כך שההודעות המועברות במסגרת השירות "מוצפנות באופן מלא" ומנכ"ל החברה, יאן קום (Jan Koum) סיפר לאתר הטכנולוגיה Ars Technica כי הדיווחים אודות "חור האבטחה" שהתגלה, כביכול, מוגזמים.

"WhatsApp לוקחת את נושא אבטחת המידע ברצינות, ואנחנו חושבים כל הזמן על דרכים לשפר את המוצר שלנו. למרות שאנחנו מעריכים את המשוב, הסיפור של אותו הבלוגר (שפירסם את דו"ח האבטחה) מתאר מצב תיאורטי ולהצהיר כי כל השיחות בשירות נמצאות תחת סכנת גניבה יהיה מעשה לא מדוייק, בלשון המעטה. אנא דווחו באחריות ועשו את המחקר שלכם כמו שצריך, כי מעבר לתגובות לשיחות בטוויטר יש לנו חברה לדאוג לה – חזרה לעבודה." כך סיפר קום בהודעת דואר אלקטרוני ששלח בתגובה למערכת אתר Ars Technica.

GeekCon

אבישי בר

מנהל מוצר. מפתח Web ו-React Native, חולה גאדג'טים, הולך נגד הזרם ואוהב את כל מה שקשור לגוגל, לאנדרואיד ולקוד פתוח. עיסוקו העיקרי הוא לפרק לחלקים כל צעצוע חדש שמגיע למשרד ואז לכתוב עליו מדריך.

הגב

Be the First to Comment!

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
wpDiscuz

תגיות לכתבה: