WhatsApp, popularny komunikator, prawdopodobnie zawiera błąd, który umożliwia dostęp do wiadomości innej osoby, kiedy w urządzeniu znajduje się karta SIM z przypisanym numerem poprzedniego właściciela. Czy to w ogóle możliwe? O podobnym problemie duplikowania numeru telefonu przez operatorów komórkowych pisał Niebezpiecznik.pl, z tą różnicą, że w tym przypadku mamy do czynienia ze zwolnieniem numeru telefonu od poprzedniego właściciela i przypisaniu go nowemu użytkownikowi.
Abby Fuller, pracownik Amazona odpowiedzialna m.in. za usługę AWS, opublikowała 11 stycznia następujący wpis na Twitterze:
logged into whatsapp with a new phone number today and the message history from the previous number’s owner was right there?! this doesn’t seem right.
— Abby Fuller (@abbyfuller) 11 stycznia 2019
Wynika z niego, że po zalogowaniu się do WhatsApp za pomocą numeru telefonu, który poprzednio należał do kogoś innego, możliwy jest odczyt prowadzonych konwersacji przez tę osobę. W dodatku istnieje szansa, że nowy właściciel numeru będzie otrzymywał wiadomości skierowane do poprzedniego użytkownika, jeżeli te nie zostały dostarczone (jeśli np. konto WhatsApp było przepełnione).
Yes it was a new device. No it wasn’t second hand. It was not a second hand SIM. Yes I’m sure they weren’t my messages, or groups that I was added to. Yes they were in plaintext. I am sure it’s my phone number. It was not restored from a backup.
— Abby Fuller (@abbyfuller) 11 stycznia 2019
Sprawa jest interesująca. Jej wyjaśnienie nie jest łatwe, ale podjął się go Mohit Kumar, redaktor naczelny The Hacker News. Twierdzi, że poprzedni właściciel wciąż korzystał z konta, w momencie, kiedy Abby Fuller otrzymała nowy numer telefonu.
That means, it is likely possible that the old owner of that SIM was still using his WhatsApp account after dumping the SIM number until Fuller recently configured the same number and verified the account using the OPT received on her phone.
Sugeruje to, że wiadomości, które Abby Fuller znalazła na jej nowo utworzonym koncie WhatsApp, były prawdopodobnie tylko niedostarczonymi wiadomościami wysłanymi przez poprzedniego właściciela.
WhatsApp powszechnie uznawany jest za dosyć bezpieczny komunikator, wspierający szyfrowanie end-to-end. Często spotykamy się z taką opinią, ale ostatnio zbyt dużo jest doniesień na temat nieprawidłowości działania algorytmów odpowiedzialnych za prywatność. Dobrym pod względem prywatności jest UseCrypt Messenger. Jego wdrożenie może objąć serwery klienta i zostawić w rękach firmy całą wiedzę o działaniu. Mocne szyfrowanie użyte w UseCrypt skutecznie zabezpieczy dane, a Panic Code wymaże konwersacje po aktywacji tej funkcji.
Jeśli preferujemy darmowe rozwiązania, to WhatsApp oczywiście nadaje się do zwykłych zastosowań. Jednak biorąc pod uwagę odkrytą nieudokumentowaną(?) funkcjonalność, należy pomyśleć o utwardzeniu konta. Przede wszystkim warto zmienić hasło na mocne i unikalne, czyli takie, które nie jest używane w innych serwisach. Po drugie lepszą niż nic jest metoda weryfikacji dwuetapowej, np. za pomocą przestarzałych kodów SMS. WhatsApp wciąż nie wspiera integracji z Yubikey NFC, ale mamy nadzieję, że to tylko kwestia czasu.
WhatsApp, w odróżnieniu na przykład od FB Messengera (oferuje takie zabezpieczenie, ale nie jest włączone domyślnie i jest dostępne tylko dla systemu Android), szyfruje wiadomości przechowywane na swoich serwerach. Jednak użytkownikom chcącym zachować najwyższy poziom bezpieczeństwa zalecamy korzystanie z Signal, UseCrypt Messenger lub innego komunikatora wyszczególnionego w tej tabelce (zobacz cały artykuł).
Tradycyjna forma komunikacji w Internecie, czyli poczta lub IRC, powoli odchodzi do lamusa. Wiele firm implementuje na swoich stronach komunikatory. Zwykle jego rolę pełni FB Messenger lub Telegram lub dedykowane rozwiązanie innego producenta, np. Intercom. Do normalnego kontaktu te narzędzia spełniają swoje zadanie. Poza tym trudno znaleźć aktywnego użytkownika globalnej sieci bez konta na Facebooku.
Komunikatory oferujące lepsze zabezpieczenia powinny znaleźć się na urządzeniach polityków, celebrytów, managerów czy dziennikarzy. Nie ochronią jednak przed prostym keyloggerem czy dobrze przygotowanym spear phishingiem (wyłudzanie danych ukierunkowane na konkretną osobę czy organizację). Dlatego tak istotna jest analiza zagrożeń i zastosowanie odpowiednich rozwiązań. Czasami wystarczy antywirus, a czasami konieczna będzie zapora sieciowa lub zaawansowane narzędzia do monitorowania systemu.
Przypadek z WhatsApp uczy (lub przypomina), że idealne rzeczy nie istnieją. Musimy zastanowić się, jakie informacje przesyłamy za pomocą komunikatorów. Jeśli prowadzimy zwykłą rozmowę ze znajomymi, to osoba postronna, która weszła w posiadanie takich wiadomości, raczej niewiele może zrobić. Z kolei przesyłanie ważnych plików za pomocą popularnych czatów nie jest rozsądne. Chcąc zachować bezpieczeństwo, można wykorzystać klucze PGP, przez co drastycznie zwiększymy integralność i poufność danych.
