有图无图
永乐国际f66 >永乐国际f66 >WhatsApp加密没有安全银弹作为网络中的弱链接渲染它'冗余' >

WhatsApp加密没有安全银弹作为网络中的弱链接渲染它'冗余'

WhatsApp加密没有安全银弹作为网络中的弱链接渲染它'冗余'

WhatsApp Encryption Redundant
由于用于验证用户身份的传统网络系统存在漏洞,WhatsApp的命运式端到端加密是多余的。 照片:Reuters / DADO RUVIC

当WhatsApp 它正在为其10亿用户中的每一个用户进行端到端加密时,它被誉为历史性的成就,也是硅谷与美国政府就接入通信进行持续战斗的重要立场。 情报机构不再能够阅读任何消息,看到任何照片或观看使用WhatsApp发送的任何视频 - 当然,除非他们可以。

WhatsApp的加密不是问题,但就像Google,Facebook和大多数银行一样,它依赖于发送短信来验证用户,这意味着使用易受攻击的过时系统,允许黑客冒充他们的目标,在WhatsApp的情况下,让网络窃贼偷走你的聊天记录。

WhatsApp和其他人发送SMS消息以验证用户身份的网络称为信令系统7(SS7),它是在20世纪70年代开发的,从未被修改或改进过。 当时,安全性是基于这样一个事实:没有人可以远程访问专用网络,但这在很长一段时间内都不是真的。

Positive Technologies的研究人员表示,他们能够进行测试,允许他们冒充他们在网络上的目标,从WhatsApp发送的短信中获取验证码,并与认为他们正在与目标进行通信的联系人进行通信。

由于WhatsApp为用户提供了将所有聊天记录备份到Google云端硬盘的功能,因此攻击者如果已经备份,则还可以下载其目标的整个聊天记录。

“虽然WhatsApp和Telegram等消息服务已引入端到端加密以保护用户的通信,但他们所依赖的SS7网络中的漏洞使这些安全增强变得多余,”Positive Technologies的Alex Matthews告诉国际商业时报,进行这些攻击并不困难。

Matthews警告说,如果用户希望保持安全,那么任何人都不应该依赖过时的网络来验证用户。 “这些核心功能都不应该用于用户验证,因为在我们去年的研究中,我们已经看到所有这些核心功能都可以被操纵。”

WhatsApp表示,它已采用安全措施来“缓解SS7漏洞”,指出用户在联系人更改安全代码时会收到警报。 但是,此设置(称为“显示安全通知”)不是默认设置,因此必须将其打开。

Positive Technologies还证明了它能够对进行类似的攻击, 是最近宣布拥有1亿用户的以隐私为重点的消息应用程序。 虽然研究人员能够冒充他们的目标并与联系人沟通,但他们无法阅读使用Telegram的“秘密聊天”功能的通信,这些功能被那些寻求与增加的隐私层进行通信的人使用。

系统中的漏洞很明显,但一位安全研究人员并不认为WhatsApp的十亿用户应该过度担心。 “我认为这是利基市场,”F-Secure Labs的安全顾问Sean Sullivan在描述典型用户的威胁程度时告诉IBT。

沙利文表示,如果情报机构想要侵入某人的WhatsApp帐户,“他们只会与运营商坐在那里并抓住短信。”虽然这可能提醒运营商注意该机构的监控,但它不会提醒目标。

然而,在某些情况下,沙利文认为SS7中的漏洞可能会被利用来对付更典型的用户。 “一个非常严重的离婚案件的私人侦探,涉及大量的赡养费,”沙利文说,可以使用这种方法,概述它可以让他们访问可能证明不忠的聊天记录。

最近的“ 揭示了SS7网络中的进一步漏洞,允许研究人员只知道目标手机的电话号码来监控对话的双方。 去年八月进行了发现了类似问题。

许多人认为加密是一种灵丹妙药,可以提供一定程度的隐私和安全,保护他们的通信免受监视。 正如Positive Technologies的研究表明,情况并非如此 - 它不仅限于WhatsApp或SS7。

正如安全专家 ,iMessage(它也会对端到端的所有消息进行加密)存在一些重大漏洞。 除了没有掩盖任何元数据之外,“iMessage中存在一个遗漏,使Apple能够支持窃听iMessage,”Weaver说,描述了一种冒充目标手机的方法。

“苹果,我非常自信,没有设计任何能够默默地为你的iCloud添加东西,将你的私人谈话变成派对的能力,”沙利文说。 “我只相信Apple工程技术,但它肯定不会超出Apple的能力。”

此外,本周,自由党和前反病毒先驱的总统候选人约翰迈克菲能够通过利用Android操作系统中的漏洞阅读加密的WhatsApp消息 - 他说他也可以为Snapchat消息做些事情。 。

迈克菲和他的研究团队尚未明确表明他们是如何实现这一壮举的,他们表示,一旦他们讨论了谷歌的这一缺陷,他们就会这样做。


载入中...