Experti z Bochumské univerzity zkoumali možnosti prolomení šifrování v instant messaging aplikacích Signal, WhatsApp a Threema a zjistili, že případný útočník může narušit integritu zpráv nebo se stát jednoduše členem skupinové konverzace.
U aplikace Signal se problém týká nedostatečné autentizace člena skupiny, díky čemuž nového člena může přidat kdokoliv disponující znalostí identifikátoru dané skupiny.
Prolomení zabezpečení v aplikaci WhatsApp sice vyžaduje přístup k serveru a jeho kompromitaci, ale i tak se jedná o narušení end-to-end šifrování. To znamená, že ten, kdo má přístup k serveru (administrátoři, zaměstnanci WhatsApp) může jednoduše přidávat do již existujících skupin nové uživatele a to bez jakékoliv nutnosti interakce se správci skupin (uživateli). Po přidání nového člena zařízení stávajících uživatelů automaticky začnou sdílet jejich tajné klíče s tímto novým členem a ten díky tomu uvidí veškeré nové zprávy.
Naše aplikace pro bezpečnou komunikaci Babelnet disponuje pokročilou implementací kontroly integrity zpráv, a proto jsou skupinové chaty maximálně bezpečné. Každá odeslaná zpráva je totiž nejen šifrována end-to-end pro každého příjemce zvlášť, ale je také podepsána pouze pro původní počet příjemců. Před dešifrováním jakékoliv zprávy (včetně skupinových konverzací) je tedy provedena kontrola integrity (podpisu) přijaté zprávy. V případě, že by nesouhlasila hodnota podpisu vypočteného ostatními příjemci, je detekován aktivní útok na změnu nebo podvržení zprávy a příjemce nebude takovou zprávu dešifrovat a zobrazí varování. S Babelnetem tak máte jistotu, že důvěrnost zasílaných sdělení není narušena.
Zdroj: Institute for IT Security, Ruhr-University Bochum