Pilnīgā datu šifrēšana strādā tā, ka viens lietotājs sūta ziņojumu sevis izvēlētam saņēmējam, un sūtītāja mobilā lietotne pieprasa WhatsApp serverim publisko atslēgu konkrētajai saziņai. Ziņojums tiek šifrēts ar šo atslēgu, bet saņēmējs datus atšifrē ar privāto atslēgu, kas atrodas tikai uz saņēmēja ierīces. Katrai nosūtītajai ziņai ir sava atšķirīga atslēga. Saziņa ir pilnīgā drošībā no "trešo personu acīm", tostarp tiesībsargājošajām iestādēm, taču tas nepasargā pret nelūgtiem viesiem grupu sarunās.
Proti, šifrēšanas speciālistu grupa no Vācijas atklājusi, ka prasmīgi hakeri teorētiski spēj iefiltrēt grupu sarakstēs konkrētā čata administratora nelūgtas personas. Vispirms gan hakerim jāpiekļūst WhatsApp serverim, ziņo tehnoloģiju portāls Wired.
Real World Crypto drošības konferencē, kas trešdien sākās Cīrihē, Šveicē, ekspertu grupa no Rūras Universitātes prezentē pētījumu, kurā izgaismotas vairākas nepilnības šifrētās ātrās saziņas lietotnēs (ne tikai WhatsApp, bet arī Signal un Threema), kas faktiski visus šifrēšanas pūliņus padara veltīgus, jo ļauj šifrētos ziņojumus saņemt "iefiltrētiem" adresātiem.
Pētnieki secinājuši, ka jebkurš, kurš ieguvis kontroli pār WhatsApp serveriem, tālāk bez lielām pūlēm var pievienot jaunus lietotājus visādi citādi privātām grupu sarakstēm, un darīt to bez konkrētās grupu sarakstes administratora akcepta.
Grupā pievienotie cilvēki redzēs paziņojumu, ka grupai pievienots jauns lietotājs, taču var noturēt to par administratora darbību, kurš konkrēto lietotāju ielūdzis. Jo vairāk sarakstē iesaistīto, jo grūtāk ziņu gūzmā būs pamanīt paziņojumu par jauna lietotāja uzrašanos. Ja arī kādam rodas aizdomas un šis lietotājs nolemj tās paust citiem grupas biedriem, arī šo brīdinājumu iespējams apiet - līdz ko persona - serverī ielauzies hakeris - ir iefiltrējusies konkrētajā sarakstē, šī persona var ziņojumus aizturēt un izvēlēties, kurus no tiem nosūtīt, bet kurus - nē.
"Ja ir ieviesta datu šifrēšana, jānovērš arī iespējas "no malas" pievienot nelūgtus lietotājus. Pretējā gadījumā no šifrēšanas jēgas faktiski nav," norādījis viens no pētījuma autoriem Pauls Rozlers.
"Ja tu esi uzbūvējis sistēmu, kur galu galā visa drošība ir atkarīga no servera drošības, tikpat labi varēja nepūlēties ar šifrēšanu un citām sarežģītām lietām. Tur viss ir salaists dēlī, tam nav attaisnojuma," skarbu kritiku pauda šifrēšanas eksperts, Džona Hopkinsa Universitātes profesors Metjū Grīns.
Tā kā priekšnosacījums svešas saziņas lasīšanai, pievienojot jaunu lietotāju grupu sarakstēs, ir WhatsApp serveru kontrolēšana, potenciālo draudu avoti nav sevišķi daudz, taču vērā ņemami - tie ir paši WhatsApp darbinieki, valdības aģentūras, kuras ar juridiskiem paņēmieniem var mēģināt panākt sev interesējošo sarunu novērošanu vai ļoti prasmīgi hakeri.
WhatsApp pārstāvji sarunā ar Wired gan norādīja, ka aizdomu gadījumā pēc paziņojuma par jauna, nepazīstama lietotāja pievienošanos grupai, jebkuram no grupas biedriem vienmēr ir iespēja administratoram par to paziņot divpusējā sarakstē, kurā ļaunprātis ziņojumus nevarēs aizturēt. WhatsApp uzskata, ka tādējādi pārāk slepena saziņas izspiegošana, pat par spīti drošības caurumam, neesot reāla.
Profesors Grīns gan norāda, ka jāmeklē adekvāts drošības risinājums: "Tas ir gluži kā atstāt bankas durvis neaizslēgtas un apgalvot, ka to taču neviens nemēģinās izlaupīt, jo ir novērošanas kamera. Tas ir muļķīgi."
Mērfijs