WhatsApp komunikátor není bezpečný

Před devíti měsíci jsme vydali článek o komunikátoru WhatsApp, jehož vývojáři se chlubí jeho bezpečností. Tento nesmysl jsme snadno zpochybnili a dnes přichází na světlo světa další důležitá fakta.

Komerční banner 770x100px (pro více informací, jak na DuchDoby.CZ inzerovat, klikněte SEM)

Vnucování výměny klíčů

V komunikační službě WhatsApp byla objevena vlastnost, která má zásadní dopad na bezpečnost šifrované komunikace. Tobias Boelter, bezpečnostní expert z University of California, totiž zjistil, že provozovatel služby má možnost si přečíst zprávy, ke kterým by neměl mít díky end-to-end šifrování vůbec přístup. Může totiž donutit klienty k výměně klíčů. Ve většině případů se o tom uživatelé vůbec nedozví.

Služba s více než miliardou uživatelů se už téměř rok chlubí tím, že podporuje end-to-end šifrování, takže nikdo nemá možnost číst komunikaci uživatelů. Ani Facebook, který je tři roky vlastníkem a provozovatelem WhatsApp, by tak neměl mít k obsahu komunikace přístup. Zprávy totiž mají být zašifrovány bezpečně pomocí klíčů, které jsou uloženy jen v zařízeních uživatelů.

WhatsApp dokonce tuto vlastnost považuje za zásadní výhodu, přičemž tvrdí, že každá konverzace používá vlastní klíč. Ten je možné volitelně ověřit a získat tak jistotu, že komunikujeme se správnou protistranou. Jelikož je k šifrování použit bezpečný protokol Signal, jenž vyvinula společnost Open Whisper Systems, uživatelé předpokládali, že komunikace je skutečně bezpečná. Jenže on je to podvod!
 

Server ovládá klienty

Ve skutečnosti je součástí této konkrétní implementace backdoor, jenž serveru dovoluje toto bezpečné šifrování obejít. Server totiž může klientům nařídit, aby zatím nedoručené zprávy znovu zašifrovali jiným klíčem a poslali mu je. Příjemce se o této změně navíc vůbec nedozví a odesílatel jen v případě, že v nastavení výslovně zapne zobrazování varování týkající se šifrování. Drtivá většina uživatelů se tak o výměně klíčů vůbec nedozví.

Zobrazení těchto notifikací je možné nalézt v menu Settings → Account → Security pod položkou „Show Security Notifications“. Uživatel se následně dozví o tom, že protistrana vyměnila šifrovací klíče.

Tímto způsobem je možné se skutečně dostat ke komunikaci, jež by měla zůstat utajena. „Pokud by byl WhatsApp požádán vládní organizací k vydání záznamů komunikace, mohl by k nim touto cestou získat přístup,” říká Tobias Boelter. Chybu prý Facebooku hlásil již v dubnu 2016, ale dostalo se mu odpovědi v tom smyslu, že jde o „očekávané chování“, čímž komunikace skončila a Facebook tím jeho pochybnosti v podstatě potvrdil.

Funkce se využívá například ve chvíli, kdy uživatel vymění telefon nebo přeinstaluje aplikaci. Původní klíče jsou ztraceny a nový telefon je nezná. Pokud byly mezi tím uživateli poslány zprávy zašifrované starým klíčem, server vyzve odesílatele k jejich přešifrování a znovuodeslání. Poté je doručí uživateli do nové instalace aplikace.

Nové klíče jsou samozřejmě doručovány pomocí infrastruktury WhatsApp a pokud uživatel znovu neprovede jejich ověření, je možné mu podvrhnout libovolný klíč. Služba tak může velmi snadno provést útok typu man-in-the-middle a oběma komunikujícím stranám podvrhnout vlastní klíče.

Problém není ani tak v samotné možnosti vyměnit klíč jako v tom, že se o změně uživatel ve výchozím stavu nedozví. Chyba není v protokolu, je v konkrétní implementaci. Stejný protokol například používá aplikace Signal, jež při výměně klíčů velmi hlasitě protestuje a žádá od uživatele jejich nové ověření. WhatsApp toto nedělá.
 

Možná neúmyslná, ale díra

Na odhalení problému velmi rychle zareagoval Open Whisper Systems s vlastním prohlášením, kde tvrdí, že nejde o backdoor, nýbrž o nutnou funkcionalitu. Podle jejich tvrzení se velmi podobně chová většina šifrovacích systémů, vše je proto v pořádku a normální. (Když Pepa skočí z okna, skočíš také? Pozn. redakce.) „WhatsApp nedává vládám ‚backdoor‘ do svých systémů a bude bojovat proti jakémukoliv požadavku k jeho vytvoření.”

Tvrdí zároveň, že takto je možné opět zašifrovat jen ty zprávy, které nebyly doposud doručeny klientovi. Už ale nedodává, že zprávy o stavu doručení předávají stejné servery, jenž jsou schopny přikázat výměnu klíčů. Ve skutečnosti je tedy možné v libovolnou chvíli komunikaci pozdržet, klíče vyměnit a nechat si zprávy poslat v dešifrovatelné podobě, což je ale úplně a doslova na hovno.

Jako další argument proti zneužitelnosti použili, že servery nemají informace o tom, zda konkrétní klienti mají zapnuté, či vypnuté oznamování změn klíčů. Útočník údajně tak nemůže sbírat informace o zranitelných uživatelích. Protože je ale notifikační volba ve výchozím stavu vypnutá, drtivá většina uživatelů je proti tomuto útoku bezbranná.

Společnost ujišťuje, že se rozhodně nejedná o backdoor. Ve skutečnosti ale nezáleží na tom, jak takovou vlastnost pojmenujeme. End-to-end šifrování má sloužit k tomu, aby v žádném bodě přenosové trasy nebylo možné komunikaci ohrozit. Pokud je toto základní pravidlo porušeno, je poškozen celý princip šifrování.

Na svou obhajobu společnost dále říká, že pro uživatele je lepší, když notifikace tohoto typu nevidí. Pravděpodobně by je taková věc obtěžovala a stejně by ji slepě ignorovali. Ovšem existuje velký rozdíl mezi tím, když uživatel na důležité oznámení reaguje zbrkle a chybně a když žádné oznámení nedostane a reagovat na něj nemůže.

Je úplně jedno, jestli jde o implementační nedokonalost nebo vědomou cestu k uživatelským datům. Stačí, že existuje technické řešení, které v případě potřeby umožní data přečíst. Pokud bude mít nějaká vládní organizace důvod se k datům dostat, dokáže provozovatele donutit takové technické řešení použít. Nehledě na to, že jej může použít útočník, který se dostane k serverům služby. Uživatel správně implementované služby by mohl mít stále jistotu, že je jeho komunikace v bezpečí krytá end-to-end komunikací s ověřeným klíčem.
 

Jedinou jistotou je open-source

Jak jsme uváděli v předchozím článku, jedinou jistotou mohou být aplikace vydávané jako open-source. Takové jsou totiž otevřené a my si tak můžeme kdykoli ověřit, jak fungují, což u aplikací uzavřených, jako je například předmětný WhatsApp, nelze. Naším doporučením proto je, pokud můžeme, nesvobodný software nepoužívejme.
 

Použité zdroje Text: Root.cz Foto: WhatsApp

 

Související články: WhatsApp komunikátor je prý šifrovaný