Hlavní navigace

WhatsApp má slabinu umožňující proniknout do skupiny, podle Facebooku to není problém

Petr Krčmář

Němečtí kryptologové objevili slabinu v protokolech služby WhatsApp, která sice už dva roky nabízí end-to-end šifrování, ale při výměně klíčů se chová velmi podivně. Před rokem bylo například zjištěno, že server dokáže klienty donutit k výměně klíčů. Nyní bylo zjištěno, že je možné vstoupit do skupiny uživatelů bez jejich vědomí a sledovat další provoz. Server totiž dokáže do skupiny přidat vlastního uživatele, aniž by potřeboval oprávnění správce skupiny. Všichni členové pak nově příchozímu pošlou šifrovací klíče a on je schopen číst další komunikaci (předchozí ne).

Zpráva byla poprvé zveřejněna na švýcarské konferenci Real World Crypto a existuje k ní třicetistránková studie [PDF]. Upozornil na ní server Wired. Na zveřejněné informace už reagoval Alex Stamos, šéf bezpečnosti Facebooku, který se na Twitteru snaží celou věc bagatelizovat a podle něj o nic zásadního nejde. Všichni členové skupiny totiž vidí oznámení o nově příchozím a pokud by měla být aplikace zásadně zabezpečena, nebyla už by tak pohodlná.

Úspěšný útok samozřejmě vyžaduje přístup k serverům provozovatele, ale chyba popírá základní princip end-to-end šifrování – totiž že nemusíme věřit serveru, přes který jsou zašifrovaná data přenášena. V případě WhatsApp ovšem zjevně existují způsoby, jak je možné kompromitací serverů uživatele ohrozit.

Našli jste v článku chybu?