למה וואטספ לעולם לא תהיה מאובטחת - מתורגם

זהו מאמר מתורגם, למאמר המקורי

העולם נראה המום מהחדשות האחרונות שוואטספ הפכה כל מכשיר סלולארי למכשיר ריגול. כל המידע בטלפון שלכם, כולל תמונות, הודעות דוא "ל וטקסטים היה נגיש על ידי תוקפים רק בגלל שוואטספ הותקנה במכשיר שלכם [1].

החדשות האלה לא הפתיעו אותי. בשנה שעברה וואטספ נאלצה להודות כי היתה להם בעיה דומה מאוד - שיחת וידאו אחת באמצעות וואטספ, זה כל מה שהיה שהאקר היה צריך כדי לקבל גישה לכל הנתונים של הטלפון שלך [2].

בכל פעם שוואטספ מנסה לתקן פגיעה קריטית באפליקציה שלהם, פגיעה חדשה מופיעה במקומה. כל בעיות האבטחה שלהם מתאימות באופן נוח למעקב, ועובדות הרבה כמו דלת אחורית.

בניגוד לטלגרם, וואטספ אינה אפליקציה עם קוד פתוח, כך שאין דרך לחוקר אבטחה לבדוק בקלות אם יש דלתות אחוריות בקוד שלה. לא רק שוואטספ אינה מפרסמת את הקוד שלה, היא עושה את ההפך הגמור: וואטספ בכוונה מערבלת באופן בינארי את האפליקציות שלה כדי לוודא שאף אחד לא מסוגל ללמוד אותם ביסודיות.

וואטספ ו"חברת האם" שלה - פייסבוק, עשויות אפילו להידרש ליישם פעולות מאחורי המשתמש באמצעות תהליכים סודיים כמו צווי איסור הפרסום של ה-FBI [3]. זה לא קל להפעיל אפליקציית תקשורת מאובטחת מארה"ב. הצוות שלנו בילה שבוע בארה"ב בשנת 2016 והיו לנו 3 ניסיונות חדירה על ידי ה-FBI [4] [5]. תארו לעצמכם מה יכול לעבור ב10 שנים על חברה אמריקנית מבוססת.

אני מבין שסוכנויות אבטחה מצדיקות דלתות אחוריות בטענה של מלחמה בטרור. הבעיה היא שדלתות אחוריות כאלה יכולות לשמש פושעים וממשלות רודניות. לא פלא שדיקטטורים אוהבים את וואטספ. חוסר האבטחה שלה מאפשר להם לרגל אחר בני עמם, כך בעוד שוואטספ ממשיכה להיות זמינה באופן חופשי במקומות כמו רוסיה או איראן, טלגרם נחסמה על ידי הרשויות [6].

למעשה, התחלתי לעבוד על טלגרם כתגובה ישירה ללחץ אישי מהרשויות הרוסיות. אז, בשנת 2012, וואטספ העבירה הודעות טקסט ללא שום הצפנה. זה מטורף. לא רק ממשלות או האקרים, גם לחברות סלולר ולמנהלי רשתות אלחוטיות הייתה גישה לכל הטקסטים בוואטספ [7] [8].

מאוחר יותר וואטספ הוסיפה קצת הצפנה שהתבררה במהירות כתכסיס שיווקי: המפתח לפענוח הודעות היה זמין לפחות למספר ממשלות, כולל ממשלת רוסיה [9]. לאחר מכן, כשטלגרם החלה לצבור פופולריות, מייסדי וואטספ מכרו את החברה שלהם לפייסבוק והכריזו כי "פרטיות היא בדנ"א שלנו" [10]. אם זה נכון, זה בטח גן רדום או רצסיבי.

לפני 3 שנים, בוואטספ הכריזו שהם יישמו הצפנה מקצה לקצה כדי ש "אף צד שלישי לא יוכל לגשת להודעות". זה עלה בקנה אחד עם דרבון אגרסיבי לכל המשתמשים שלהם לגבות את השיחות שלהם בענן. בזמן השיווק של הפיצ'ר הזה, בוואטספ לא אמרו למשתמשים שכאשר מתבצע גיבוי, ההודעות כבר לא מוגנות על ידי הצפנה מקצה לקצה וניתן לגשת אליהם על ידי האקרים ורשויות אכיפת החוק. שיווק מבריק, וכמה אנשים נאיביים ריצוי זמנם בכלא כתוצאה מזה [11].

אלה שחזקים מספיק לא ליפול למלכודות הפופ-אפ שמבקשות לגבות את השיחות. עדיין יכולים להיות תחת מעקב דרך מספר טריקים -מגישה לגיבויים של אנשי קשר שהתכתבו איתם ועד לשינויים בלתי נראים במפתחות ההצפנה[12]. תיעוד המטא-דאטה (המתעד מי משוחח עם מי ומתי) שנוצר ע"י משתמשי וואטספ – דלף לכל מיני סוכנויות בכמויות גדולות על ידי חברת האם של וואטספ [13]. עם כל אלה יש לכם שילוב קטלני של נקודות תורפה קריטיות.

לוואטספ יש היסטוריה עקבית, מאפס הצפנה בעת בהקמתה, ועד כדי רצף של בעיות אבטחה שמתאימות באופן מוזר למטרות מעקב. במבט לאחור, לא היה יום אחד במסע בן 10 השנים של וואטספ ששירות זה היה מאובטח. זו הסיבה שאני לא חושב שרק עדכון האפליקציית המובייל יהפוך אותה בטוחה לכל אחד. כדי ש "וואטספ" תהפוך לשירות מאובטח ופרטי, היא חייבת להסתכן באובדן שווקים שלמים ובהתעמתות עם הרשויות במדינתם. לא נראה שהם מוכנים לזה [14].

בשנה שעברה, המייסדים של וואטספ עזבו את החברה בשל חששות על פרטיות המשתמשים [15]. זה בהחלט קשור לצווי איסור פרסום או הסכמי סודיות, כך שהם אינם מסוגלים לדון בדלתות האחוריות בפומבי מבלי להסתכן לאבד את הונם והחופש שלהם. עם זאת, הם הצליחו להודות, ש"הם מכרו את פרטיות המשתמשים שלהם" [16].

אני יכול להבין את חוסר הרצון של מייסדי וואטספ לספק פרטים נוספים - זה לא קל לשים הנוחות שלך בסיכון. לפני מספר שנים נאלצתי לעזוב את ארצי לאחר שסירבתי לציית להוראות הפרת הפרטיות של הממשלה כנגד משתמשי VK [17]. זה לא היה נעים. אבל האם אעשה משהו כזה שוב? בשמחה. כל אחד מאיתנו ימות בסופו של דבר, אבל אנחנו בני האדם, כזן, נישאר בסביבה לזמן מה. לכן אני חושב שצבירת כסף, תהילה או כוח אינה רלוונטית. לשרת את האנושות זה הדבר היחיד שבאמת חשוב בטווח הארוך.

ועכשיו, למרות הכוונות שלנו, אני מרגיש שאנחנו מדרדרים את האנושות למטה בכל פרשת תוכנות הריגול בוואטספ. הרבה אנשים לא יכולים להפסיק להשתמש בוואטספ, כי החברים והמשפחה שלהם עדיין עובדים עם זה. זה אומר שאנחנו בטלגרם עשינו עבודה רעה בלשכנע אנשים לעבור למשהו אחר. אמנם הצלחנו למשוך מאות מיליוני משתמשים בחמש השנים האחרונות, אבל זה לא מספיק. רוב משתמשי האינטרנט עדיין מוחזקים כבני ערובה על ידי אימפריית פייסבוק/אינסטגרם/וואטספ. רבים מאלה שמשתמשים בטלגרם הם גם משתמשים של וואטספ, כלומר, הטלפונים שלהם הם עדיין פגיעים. אפילו אלה שזרקו את וואטספ לגמרי, בטח עדיין משתמשים בפייסבוק או באינסטגרם, שניהם חושבים שזה בסדר לאחסן את הסיסמאות שלך בטקסט רגיל [18] [19] (אני עדיין לא מאמין שחברת טכנולוגיה יכולה לעשות משהו כזה ולהתחמק מזה).

בכמעט 6 השנים של קיומה, לא היתה לטלגרם שום דליפת נתונים גדולה או פגם אבטחה מהסוגים שוואטספ מדגימה כל כמה חודשים. באותם 6 שנים, חשפנו בדיוק אפס בייטים של נתונים לצד שלישי, בעוד שפייסבוק כבר שיתפה פחות או יותר הכל עם כל מי שטען שעבד עבור הממשלה [13].

מעט אנשים מחוץ לקהילת המעריצים של טלגרם מבינים שרוב הפיצ'רים החדשים במסרים מיידים מופיעים קודם בטלגרם, ואז מועתקים על ידי וואטספ עד לפרטים הקטנים ביותר. לאחרונה אנחנו עדים לניסיון של פייסבוק להשאיל את כל הפילוסופיה של טלגרם, כשצוקרברג לפתע מכריז על חשיבות הפרטיות והמהירות, ולמעשה מצטט את התיאור של האפליקציה מילה במילה בנאום שלו ב-F8.

אבל להתבכיין על הצביעות וחוסר יצירתיות של פייסבוק לא יעזור. אנחנו חייבים להודות שפייסבוק מוציאה לפועל אסטרטגיה יעילה. תראו מה הם עשו לסנאפצ'ט [20].

אנחנו בטלגרם צריכים להכיר באחריות שלנו ביצירת העתיד. זה או אנחנו או המונופול הפייסבוקי. זה או חופש ופרטיות או חמדנות וצביעות. הצוות שלנו מתחרה בפייסבוק ב-13 השנים האחרונות. כבר ניצחנו אותם פעם אחת, בשוק הרשתות החברתיות של מזרח אירופה [21]. ננצח אותם שוב בשוק ההודעות המיידיות העולמי. אנחנו חייבים.

זה לא יהיה קל. מחלקת השיווק בפייסבוק ענקית. אנחנו בטלגרם, לעומת זאת, עושים אפס שיווק. אנחנו לא רוצים לשלם לעיתונאים ולחוקרים שיספרו לעולם על טלגרם. בשביל זה, אנחנו סומכים עליכם – מיליוני המשתמשים שלנו. אם אתם אוהבים את טלגרם מספיק, תוכלו לספר לחברים שלך על זה. ואם כל משתמש טלגרם ישכנע 3 מחבריו למחוק את וואטספ ולעבור לצמיתות לטלגרם, טלגרם כבר יהיה פופולרי יותר מאשר וואטספ.

עידן החמדנות והצביעות יסתיים. עידן של חופש ופרטיות יתחיל. זה הרבה יותר קרוב ממה שזה נראה.

קישורים והפניות
על טלגרם בוויקיפדיה
על וואטסאפ בוויקיפדיה

[1] Business Insider WhatsApp was hacked and attackers installed spyware on people’s phones – May 15, 2019

[2] Security Today WhatsApp Bug Allowed Hackers to Hijack Accounts – October 12, 2018

[3] Wikipedia Gag order – United States

[4] Neowin FBI asked Durov and developer for Telegram backdoor – September 19, 0271

[5] The Baffler The Crypto-Keepers – September 17, 2017

[6] New York Times What Is Telegram, and Why Are Iran and Russia Trying to Ban It? – May 2, 2019

[7] YourDailyMac Whatsapp leaks usernames, telephone numbers and messages – May 19, 2011

[8] The H Security Sniffer tool displays other people's WhatsApp messages – May 13, 2012

[9] FilePerms WhatsApp is broken, really broken – September 12, 2012

[10] International Business Times Respect for Privacy Is Coded Into WhatsApp's DNA: Founder Jan Koum – March 18, 2014

[11] Slate https://slate.com/technology/2018/06/paul-manafort-how-did-fbi-access-whatsapp-messages.html – June 5, 2018

[12] AppleInsider WhatsApp backdoor defeats end-to-end encryption, potentially allows Facebook to read messages – January 13, 2017

[13] Forbes Forget About Backdoors, This Is The Data WhatsApp Actually Hands To Cops – January 22, 2017

[14] New York Times Facebook Said to Create Censorship Tool to Get Back Into China – November 22, 2016

[15] The Verge WhatsApp co-founder Jan Koum is leaving Facebook after clashing over data privacy – April 30, 2018

[16] CNET WhatsApp co-founder: 'I sold my users' privacy' with Facebook acquisition – September 25, 2018

[17] New York Times Once celebrated in Russia, programmer Pavel Durov chooses exile – December 2, 2014

[18] TechCrunch Facebook admits it stored ‘hundreds of millions’ of account passwords in plaintext – March 21, 2019

[19] Engadget Facebook stored millions of Instagram passwords in plain text – 18 April, 2019

[20] Vanity Fair Snapchat is doing so badly, the feds are getting involved – November 14, 2018

[21] HuffPost Vkontakte, Facebook Competitor In Russia, Dominates – October 26, 2012

תורגם ע"י רפאל כהן
בטלגרם
בטוויטר