Versleutelde berichten op meerdere apparaten kunnen risico's vergroten, zeggen experts

Inhoudsopgave:

Versleutelde berichten op meerdere apparaten kunnen risico's vergroten, zeggen experts
Versleutelde berichten op meerdere apparaten kunnen risico's vergroten, zeggen experts
Anonim

Belangrijkste afhaalrestaurants

  • WhatsApp test de mogelijkheden van meerdere apparaten in bèta met een kleine groep gebruikers.
  • De nieuwe functie stelt gebruikers in staat om communicatie over vier extra apparaten te synchroniseren.
  • Experts zeggen dat er privacy-compromissen kunnen zijn bij het communiceren op verschillende apparaten, zelfs wanneer versleuteld.
Image
Image

Na de aankondiging in juli dat de mogelijkheden voor meerdere apparaten in bèta waren, verheugden WhatsApp-gebruikers zich over het idee dat ze op verschillende apparaten konden inloggen. Maar zal het extra gemak gepaard gaan met compromissen voor privacy? Dit is wat je moet weten.

Ondanks het veelgeprezen coderingsprotocol is de populaire berichten-app de afgelopen jaren (en, eh, gisteren) een paar keer onder vuur gekomen vanwege tal van kwetsbaarheden, wat vragen oproept over de beveiliging ervan. Experts waarschuwen dat er ook compromissen kunnen zijn bij het verbinden van meerdere apparaten met een versleutelde communicatie-app.

"[De vraag] is niet alleen meer apparaten toevoegen, maar zijn ze altijd veilig?" Steven M. Bellovin, een professor in computerwetenschappen aan de Columbia University, vertelde Lifewire in een telefonisch interview. "De veiligheidszin is 'aanvalsoppervlak' - op hoeveel plaatsen kun je worden aangevallen en op hoeveel verschillende manieren?"

Technisch veilig

Volgens Bellovin begint een van de meer uitdagende problemen bij het beveiligen van meerdere apparaten onder één account met de basisprincipes van codering.

"Alle encryptie is afhankelijk van een geheime sleutel", zei Bellovin, en hij vergeleek de encryptiesleutels met autosleutels die alleen de auto kunnen starten waartoe ze behoren. "Iedereen moet zijn eigen hebben. Daarom kun jij het lezen en niemand anders."

Omdat elke app die afhankelijk is van end-to-end-codering (E2EE) een specifiek protocol gebruikt dat is gebaseerd op de onderliggende principes van sleutelverwerking en naamruimte (de laatste is meestal het telefoonnummer van de gebruiker), zei Bellovin dat de uitdaging een manier vinden om sleutels veilig te verplaatsen en eigenaren op meerdere apparaten te authenticeren - iets wat hij zei is "geen gemakkelijke vraag."

Sleutels tot het Koninkrijk

Net als zijn concurrenten, stelt WhatsApp gebruikers al in staat om in te loggen op een computer, zolang ze ook zijn ingelogd op de smartphone die aan hun sleutel is gekoppeld (het bedrijf zegt dat het vervolgens het account spiegelt). In het bètasysteem heeft elk gesynchroniseerd apparaat echter zijn eigen sleutel waarmee gebruikers zonder telefoon op vier extra apparaten kunnen inloggen.

[De vraag] is niet alleen het toevoegen van meer apparaten, maar zijn ze altijd veilig?

"E2EE gebruikt normaal gesproken één enkele coderingssleutel per gebruiker, die de sleutel moet kopiëren naar elk apparaat dat ze willen gebruiken … Daarom heeft WhatsApp tot nu toe slechts één apparaat ondersteund, omdat het moeilijk is om die codering te behouden sleutel veilig en beveiligd terwijl u deze naar meerdere apparaten verplaatst, " John S. Koh, een beveiligingsonderzoeker wiens werk zich heeft gericht op een E2EE-aanpak voor meerdere apparaten, de zogenaamde per-apparaatsleutels (PDK), vertelde Lifewire in een e-mail.

"Met PDK heeft elk apparaat van een gebruiker zijn eigen coderingssleutel, in plaats van dat gebruikers slechts één coderingssleutel hebben. WhatsApp lijkt dit concept te gebruiken en verwijst naar de apparaatsleutels als 'identiteitssleutels'" Koh gezegd. "Een van de voordelen van E2EE op meerdere apparaten die gebruik maken van mijn, en vermoedelijk WhatApp's, benadering, waarbij ik op één sleutel per apparaat vertrouw, is dat het gebruiksmodel veel gemakkelijker te begrijpen is voor gebruikers. De afweging is het randgeval van gebruikers die hun apparaten verliezen en nodig om de toegang te verwijderen, wat soms een moeizaam proces kan zijn."

Meer apparaten, dezelfde oplossingen

"Het antwoord op de vraag of iets veilig is, begint altijd met een andere vraag, namelijk: 'Wat zijn uw behoeften?'", vertelde Maritza Johnson, een beveiligings- en privacy-expert en centrumdirecteur aan de Universiteit van San Diego, aan Lifewire in een telefonisch interview.

Om individuele beveiligingsbehoeften aan te pakken, zei Facebook in een blogpost dat WhatsApp van plan is om alle apparaten die aan een account zijn gekoppeld, te bekijken, te zien wanneer ze voor het laatst zijn gebruikt en op afstand uit te loggen - iets wat volgens Johnson belangrijk is, vooral voor slachtoffers van partnergeweld die soms het doelwit zijn van cyberstalking.

Image
Image

"Je wilt niet dat de telefoon van je ex-vriendje overal een kopie van krijgt en je weet het niet, of je weet niet hoe je het moet afsluiten", zei Johnson. "Het is een persoonlijke beslissing, als je wilt inloggen op je WhatsApp-account op een gedeeld apparaat, en bedenk wat de implicaties daarvan zouden zijn."

Johnson benadrukte ook hoe belangrijk het is om ervoor te zorgen dat elk gekoppeld apparaat met een wachtwoord is beveiligd om te voorkomen dat iemand anders er fysiek toegang toe heeft - iets waartegen de sterkste versleuteling geen bescherming kan bieden.

"Elke laptop, tablet of ander apparaat dat u met hetzelfde account gebruikt, u wilt er zeker van zijn dat u op al die laptops hetzelfde beveiligingsniveau hebt… zodat iemand dat kan' t gewoon vegen om te openen, "zei Johnson.

Aanbevolen: