האם אפליקציית המסרים של המוחים בהונג קונג באמת מאובטחת?

אפליקציית המסרים Bridgefy הפכה לפופולרית בקרב המפגינים בהונג קונג בזכות העובדה שהיא מקשה על הרשויות להפעיל עליה צנזורה • לא ברור אם ימשיכו המחאות, אך חשוב לזכור כי אף אמצעי אבטחה לא חסין במאת האחוזים

תמונה: Pexels

מאת: תומאס ברוסטר

אמנם מנהיגת הונג קונג הודיעה רשמית כי תבטל את השינוי בחוק ההסגרה, אך לא ברור אם המחאות שפקדו את האזור ישכחו בקרוב. כך או כך, נראה שהמפגינים שאימצו את אפליקציית ההודעות הלא מקוונת Bridgefy, צריכים להכיר את הסכנות שבה.

כפי שפורסם בפורבס, הורדות האפליקציה התרבו בתקופה האחרונה בשל המשבר הפוליטי בעיר, ונראה שהיא הפכה לאפליקציית ההודעות הלא מקוונות שמחליפה בפועל את Firechat, שהפכה פופולרית במהלך הפגנות בעד הדמוקרטיה ב-2014. כמו ב-Firechat, גם Bridgefy משתמשת ברשת “Mesh”. המשמעות היא שסמארטפונים משתמשים בחיבורי בלוטות’ לטווח קצר כדי ליצור רשת משלהם ללא תלות בחיבור האינטרנט של המפעיל הסלולרי.

עובדה זו מקשה על הרשויות בהונג קונג או בסין להשתלט על האפליקציה. משמעותה של הרשת הזו שיש מספר נתיבים לתקשורת מכיוון שהודעות יכולות לפלס את דרכן בכל מכשיר ברשת. ואין שום נקודת תורפה אחת בה המשטרה יכולה להתמקד כדי להשבית את Bridgefy.

סיכוני השימוש באפליקציה

אבל זה לא אומר שאין דרך לחבל באפליקציה. למשל, המשטרה יכולה להירשם ל- Bridgefy ולגרום לבלבול על ידי הצפת הרשת בשידורים מזויפים. תארו לעצמכם סבב הודעות המודיעות למפגינים להתארגן במקום מסוים, כזה שבו הרשויות אורבות להם. או הודעה שיגרמו לבהלה כשהן טוענות שגורמים רשמיים סגרו באלימות את ההפגנות במקום מסוים.

מת’יו גרין, פרופסור חבר במכון ג’ונס הופקינס לאבטחת מידע, הוריד את האפליקציה כדי לבדוק את האבטחה והפרטיות שלה. הוא אמר לפורבס כי נושאי האבטחה העיקריים עם Bridgefy הם הסודיות והאותנטיות של כל ההודעות שנשלחות דרך הטלפונים. איך משתמשים יכולים להיות בטוחים בזהות האדם איתו הם מתקשרים? “באופן היפותטי הודעות כאלה יכולות להיות מוצפנות, אך זה מצריך לנהל את ההצפנה. אני לא בטוח איך האפליקציה עושה זאת בצורה מאובטחת כאשר השרתים שלהם במצב לא מקוון”, הוסיף גרין.

דובר Bridgefy אמר לפורבס כי האפליקציה אכן משתמשת בהצפנה. “אנו משתמשים בהצפנת RSA (תקן קריפטוגרפי ידוע) מקצה לקצה בהודעות פרטיות ישירות ובהודעות ה-Mesh”, אמר הדובר. “הודעות משודרות אינן מוצפנות בכוונה, כך שכולם יכולים לקרוא אותן”.

הדובר הודה, עם זאת, כי אף אפליקציה לא יכולה להיות חסינה מפני חטטנות. “אין הרבה מה לעשות בנוגע למעקב ולצנזורה מלבד להצפין את כל מה שאנחנו יכולים. עם כל אפליקציה, לא מקוונת או מקוונת, תמיד יהיו סיכונים שאינם ניתנים לשליטה על ידי מפתח האפליקציה”. ואכן, בתנאי המשתמש מצוין: “שום אמצעי אבטחה אינו אמין במאת האחוזים והתוכן שלך נתון ליירוט על ידי צדדים שלישיים שאינם קשורים ל-Bridgefy”.

חרדת פרטיות

גרין הדגיש גם את החששות מאיסוף מטא-דאטה, במיוחד כשיש גם שוטרים שמפעילים את האפליקציה. נתונים כאלה יכולים לכלול את מזהה מכשיר טלפון סלולרי של המשתמש. לאחר מכן ניתן להשתמש בזה כדי לקבוע את זהותו של בעל הטלפון הנייד – למשל, באמצעות בקשה ממשלתית מהספק.

הם יוכלו לפנות לספקי טכנולוגיה אחרים כדי להבין מי מריץ את Bridgefy ברחבי הונג קונג. אפליקציית ההודעות הסינית WeChat, למשל, מקבלת את ההרשאה לצפות באפליקציות אחרות שפועלות באנדרואיד. ממשלת סין יכולה פשוט לדרוש מספקית התקשורת Tencent למסור רשימת משתמשים שמריצה את האפליקציה והיכן הם נמצאים.

יש גם את איום הממשלה שתפיץ תוכנות זדוניות באמצעות האפליקציה באמצעות שידורים שדוחפים קישורים זדוניים. כל קבוצה המתנגדת לממשלה הקומוניסטית של סין עומדת בפני איומים חמורים על ביטחונם הקיברנטי.

ולאלה שמוכנים לקבל את הסיכון – Bridgefy יכולה להישאר כלי שימושי לתקשורת ולארגון במצבים קיצוניים.

הכתבה פורסמה בפורבס


הסטארט-אפ שמייצר משקפיים משאריות הקפה שלכם

הפשע משתלם: צמיחתה של האפליקציה המנטרת כל אירוע חריג

חדשנות משכרת: הבינה המלאכותית משתלבת בתהליכי ייצור הבירה​

פורבס ישראל

הגב

הגב ראשון!

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

wpDiscuz

תגיות לכתבה: