Ze studie provedené výzkumníky z Ruhrské univerzity v Bochumi vyplývá, že hackeři mohou přidávat lidi do skupinových chatů ve WhatsApp
V průběhu let společnost WhatsApp investovala velké prostředky do zabezpečení uživatelských dat. Bylo zavedeno dvoufaktorové ověřování a end-to-end šifrování konverzací díky systému Open Whisper Systems. Zejména druhé jmenované rozhodnutí zlepšilo ochranu soukromí a ochránilo konverzace uživatelů před vniknutím hackerů.
Tento krok k zavedení end-to-end šifrování v rámci aplikace uvítali jak uživatelé, tak odborníci z oboru, kteří na takové rozhodnutí společnosti WhatsApp dlouho čekali. Použití koncového šifrování by mělo naznačovat, že data uživatelů jsou v bezpečí a že nikdo nemůže narušit jejich konverzaci. Ve skutečnosti tomu tak ale není. Vyplývá to z výzkumu provedeného Porúrskou univerzitou v Bochumi (Německo), který odhalil přítomnost chyby v serverech WhatsApp, která by ohrozila bezpečnost dat uživatelů. Chyba by se týkala pouze skupinových chatů, nikoli individuálních chatů.
Co výzkumníci zjistili
Studie byla prezentována na bezpečnostní konferenci Real World Crypto a okamžitě se o ní začalo mluvit. Výzkum odhalil chyby ve třech aplikacích pro zasílání rychlých zpráv: WhatsApp, Signal a Threema. Zatímco problémy zjištěné v posledních dvou jmenovaných aplikacích lze snadno opravit, chyba ve WhatsApp by mohla potenciálně ohrozit všechny skupinové konverzace. Podle výzkumníků by chyba umožnila komukoli s přístupem k serverům WhatsApp přidávat lidi do skupinových konverzací, aniž by požádal správce o souhlas. Kvůli této chybě se mohli hackeři dostat do chatů, aniž by si toho někdo všiml, a začít shromažďovat data uživatelů. Výzkumníci upozorňují, že nebezpečí spočívá v tom, že by se hackeři mohli dostat do serverů WhatsApp a začít přidávat lidi do skupin. Vlády by také mohly vyvíjet tlak na aplikaci pro zasílání zpráv, aby kontrolovala skupinové konverzace během lidových povstání.
Co mohou hackeři dělat
Přihlášení k serverům WhatsApp by hackerům umožnilo absolutní kontrolu nad skupinovými konverzace. Když je někdo přidán do chatu, zobrazí se v chatu zpráva upozorňující ostatní uživatele. Pokud uživatele přidal hacker prostřednictvím zásahu na úrovni serveru, mohl správce skupiny upozornit ostatní uživatele, že nikoho nepřidal. Pokud je však skupina velmi aktivní, v 99 % případů může být zpráva o přidání nového uživatele přehlédnuta. Díky přímému ovládání serverů mají hackeři i další pravomoci. Mohou například rozhodnout, které zprávy se mají v chatu zobrazit, a také odesílat různé zprávy správcům skupiny. Tímto způsobem zůstane průnik téměř neodhalen a útočníci mohou v tichosti shromažďovat data lidí.
WhatsApp v pohotovosti
Výzkumníci z Ruhr University uvedli, že WhatsApp varovali již loni v červenci, ale zaměstnanci aplikace pro rychlé zasílání zpráv nepovažovali chybu za natolik důležitou, aby si zasloužila peněžní odměnu, kterou Facebook nabízí každému, kdo odhalí chybu v některé z jeho platforem. Někteří zaměstnanci společnosti WhatsApp tento problém potvrdili serveru Wired, ale zdůraznili skutečnost, že když je do chatu přidán nový člen, jsou všichni uživatelé upozorněni prostřednictvím zprávy. A to by zajistilo bezpečnost dat uživatelů.
Jak problém vyřešit
Podle vědců lze problém snadno vyřešit, stačí, když WhatsApp provede jednoduchou změnu. Přidat druh dvoufaktorového ověřování pro přidání uživatele do nové skupiny: klíč, který má pouze správce skupiny. Uvidíme, zda se společnost WhatsApp rozhodne řídit radami výzkumníků.