WhatsApp暗号化：今では最も安全なインスタントメッセンジャー（またはそれですか？）

WhatsAppは、携帯電話やタブレットで最も広く使用されているインスタントメッセージングサービスです。 2009年に設立されたこのサービスは、現在7億人を超えるアクティブユーザーにまで拡大しており、2位の中国のWeChatよりも約2億5000万人多くなっています。 Facebookが12か月前に190億ドルで買収して以来、同社はセキュリティとプライバシーへのアプローチを一掃することを余儀なくされ、昨年、新しい暗号化対策を導入したというニュースがありました。

問題は何でしたか？

WhatsAppは、セキュリティの低さを理由に、数え切れないほどの困惑と露出に苦しんでいました。問題は2011年5月に始まり、ユーザーのアカウントがセッションを乗っ取られ（有効な使用セッションを悪用して情報への不正アクセスを取得）、トラフィックが傍受されてパッケージによってログに記録されるというセキュリティ上の欠陥が発見されました。スニファー。アプリの新しいバージョンがリリースされましたが、データは引き続きプレーンテキストで送受信されました。

彼らの困難は2012年まで続きました。今年の初めにハッカーがWhatsAppStatus.netを公開しました。これにより、人々はWhatsAppのユーザーのステータスを変更でき、アプリの開発者は応答が遅くなりました。最初は欠陥が修正されたと主張していました。実際には、WebサイトのIPアドレスをブロックしただけでした。当然のことながら、同様のツールがすぐに登場し、会社はより堅牢な方法で対応することを余儀なくされました。春の終わりまでに、WhatsAppは最終的にデータに平文を使用することをやめましたが、その置き換えである暗号化方式は、起動時に壊れていると広く批判されました。

2013年後半、オランダのセキュリティ研究者は、いくつかの「長い間文書化された弱点」のおかげで、十分な技術的知識を持っている人なら誰でもアプリ内で送信された通信を解読できると主張しました。主に、WhatsAppが会話の両側で同じ暗号化キーを使用したという事実です。欠陥を発見したユトレヒト大学の学生であるThijsAlkemadeは、次のように述べています。 "。追加、"これについてWhatsAppユーザーができることは何もありません...開発者が更新できるようになるまで使用を停止する以外は "。

2014年11月の時点で、WhatsAppはElectronic Frontier Foundationの安全なメッセージングスコアカードで7点中2点しか獲得していませんでした。プロバイダーがキーを持っている暗号化を使用したため、ポイントを失いました。ユーザーの身元を確認する方法はありませんでした。そして、そのセキュリティ設計は十分に文書化されていませんでした。

応答は何でしたか？

昨年11月18日、WhatsAppの新しい所有者であるFacebookは、十分であると判断しました。 Facebookは、プライバシーとセキュリティに関する独自の透明性の点で正確に評価されていませんが、高価な新規買収を危険にさらしたり、ViberやTangoなどのライバルサービスにユーザーを失うリスクを冒したりしたくありませんでした。

その結果、彼らはOpen Whisper Systemsとの新しいパートナーシップを発表し、最終的にサービスにエンドツーエンドの暗号化をもたらし、過去3年間のグレムリンを追放することを望んでいます。 Open Whisperは、新しい暗号化は世界で最も大きく、個々のデバイスに固有の暗号化キーを使用するサービスであるTextSecureを使用して巨大なユーザーベースを保護すると述べました。 Wiredがソリューションは「実質的にクラックできない」と主張したため、専門家はすぐに感銘を受けました。 」、およびウォールストリートジャーナルは、「暗号化は非常に堅牢であるため、法執行機関でさえWhatsAppメッセージを復号化することはできません」と述べています。 "。

どのように機能しますか？

WhatsApp開発者が所有および運用する集中型サーバーに暗号化のスクランブルを解除するためのキーを保存する代わりに、エンドツーエンド暗号化は、ユーザーのデバイスにのみキーを保存することで機能します。 「ForwardSecrecy」と呼ばれるプロトコルを使用して新しいメッセージごとに新しいキーを発行するTextSecureと組み合わせると、WhatsAppのCEOであるJanKoumが「可能な限りあなたについて…あなたのプライバシーの尊重は私たちのDNAにコード化されています "。

現在このサービスで使用されている暗号化は、同様のインスタントメッセージングアプリやソーシャルネットワークで使用されている暗号化とは大きく異なります。これらのアプリやソーシャルネットワークでは、ほとんどの場合、ユーザーのデバイスだけでなく自分のサーバーにもキーが保存されています。これは、企業や政府がオンデマンドでメッセージやデータのコンテンツにアクセスできることを意味し、ハッカーが個人情報や個人情報に簡単にアクセスできるようにします。

実際、WhatsAppによる動きは、一流のテクノロジー企業によるプライバシーの向上に向けたより大きな動きの一部ですが、誰もが満足しているわけではありません。 AppleとGoogleの両方がWhatsAppの発表に向けて暗号化サービスを拡張したとき、FBIのジェームズコミー長官はこの動きを批判し、「スノーデン後の振り子が[今]大きく振れすぎた」と主張しました。 "。

すべての問題は修正されましたか？

効果的なセキュリティを提供することは簡単ではありません。 WhatsAppは、10年の変わり目に明らかにゲームから大きく遅れをとっていましたが、2014年後半のアップデートは完全にハッカーに強いように聞こえます。残念ながら、そうなることはめったにありません。最近では、マウンテンビューを拠点とする企業に対してより否定的な報道が出ています。

ユーザーのメッセージの内容は安全なように見えますが、ハッカーがさまざまなプライバシー設定を迂回するために使用できる簡単なソフトウェアがリリースされました。これにより、ユーザーがオンラインかオフラインかを確認し、監視することができます。個人のプロフィール写真、ユーザーのステータスを確認する方法、および個人のプライバシー設定を確認する機能。

WhatsSpy Publicと呼ばれるこのソフトウェアは、オランダの開発者によって作成されており、ユーザーが最も厳格なプライバシー管理を有効にしている場合でも、追跡対象ユーザーのオンラインステータスのタイムラインを明らかにすることができます。 「これで、すべてのオプションを「誰も」に設定しなかったと思うかもしれませんが、プライバシーに関しては安全ですが、それでもWhatsAppであなたの動きを追跡できます 「ソフトウェアのデザイナーであるMaikelZweerink氏は、ユーザーにとって朗報は、ソフトウェアのセットアップが難しく、ルート化されたAndroidまたはジェイルブレイクされたiPhoneでのみユーザーを追跡できることです。つまり、「バニラ」OSを使用している場合は大丈夫なはずです。

WhatsAppはまだ正式に申し立てに対応していませんが、インサイダーは英国のメディアに「これはハックではありません…本質的に、自分が持っている情報を記録および監視するだけのプログラムを作成した」と語ったとき、違反を軽視しようと動きました。とにかくアクセス "。

それにもかかわらず、WhatAppの貧弱な実績を考えると、そのユーザーは声明で多くの慰めをする可能性は低いです。真実が何であれ、問題は単に、デジタル時代のセキュリティを当然のことと見なすことはできないという最優先の事実を示しています。自分が保護されていると思っていても、ハッカーや犯罪者があなたを危険にさらす次のバグや欠陥を探していることは間違いありません。

どう思いますか？

WhatsAppを使用していますか？その貧弱な歴史があなたをサービスから遠ざけたことはありますか？ いくつかのメッセージングの代替手段を試しましたが、常にユビキタスアプリに引き戻されていることに気づきましたか？プライバシーは一般的にあなたに関係がありますか、それとも「隠すものは何もない、恐れるものは何もない」という考え方に同意しますか？

あなたからの御一報をお待ちしています。以下のコメントであなたの考えを教えてください。