האם אחת מרשתות המסרים המידיים הפופולאריות בעולם קצת פחות מאובטחת משחשבנו? על פי הדיווחים האחרונים, חוקר האבטחה Thijs Alkemade טוען בפוסט בבלוג האישי שלו כי איתר חור אבטחה ב-WhatsApp המאפשר לפענח את ההצפנה של רשת ההודעות. לפירצה יש פוטנציאל ענק להשפיע על כ-25 מיליארד הודעות הנשלחות תוך שימוש בשירות מידי יום.
סכנה אמיתית או דיון בטוויטר?
החוקר, סטודנט למדעי המחשב ומתמטיקה באוניברסיטת אוטרכט, הולנד אשר בין היתר משמש כמפתח ראשי של תוכנת המסרים המידיים בקוד פתוח הפופולארית למק – Adium, פירט במאמר שפירסם כי תכנון לקוי של יישום ההצפנה של WhatsApp עלול לאפשר לתוקפים ליירט ולפענח הודעות. על פי חוקר האבטחה הבעיה העיקרית היא שאותו המפתח משמש להצפנת הזרמים היוצאים והנכנסים מהשרת המרכזי של WhatsApp.
"RC4 הוא למעשה PRNG, או יותר נכון מחולל מספרים אקראי היוצר זרם של בתים אשר מופעלת עליו הפעולה הלוגית XOR עם הטקסט שצריך לעבור את תהליך ההצפנה. על ידי שימוש בפעולה הפוכה של XOR עם אותו זרם הנתונים, ניתן לפענח את הטקסט המוצפן חזרה", כך סיפר. "אין שום דבר שהמשתמש בשירות יכול לעשות – פרט מלהפסיק את השימוש באפליקציה ולהמתין שצוות הפיתוח של האפליקציה יתקן את התקלה". מדובר למעשה בתהליך דומה לפענוח סיסמא של רשת אלחוטית לא מאובטחת כמו שצריך – על ידי יירוט של אחד מזרמי הנתונים המועברים לרשת ופענוח הנתונים המוצפנים.
ב-WhatsApp לא מתרגשים
בעוד החוקרים נשמעים דרמטיים למדי, ב-WhatsApp נשארים אדישים למדי לנוכח הדיווחים האחרונים והדיונים שהתנהלו בעיקר על גבי רשת המיקרובלוגינג טוויטר. מפתחי האפליקציה עומדים על כך שההודעות המועברות במסגרת השירות "מוצפנות באופן מלא" ומנכ"ל החברה, יאן קום (Jan Koum) סיפר לאתר הטכנולוגיה Ars Technica כי הדיווחים אודות "חור האבטחה" שהתגלה, כביכול, מוגזמים.
"WhatsApp לוקחת את נושא אבטחת המידע ברצינות, ואנחנו חושבים כל הזמן על דרכים לשפר את המוצר שלנו. למרות שאנחנו מעריכים את המשוב, הסיפור של אותו הבלוגר (שפירסם את דו"ח האבטחה) מתאר מצב תיאורטי ולהצהיר כי כל השיחות בשירות נמצאות תחת סכנת גניבה יהיה מעשה לא מדוייק, בלשון המעטה. אנא דווחו באחריות ועשו את המחקר שלכם כמו שצריך, כי מעבר לתגובות לשיחות בטוויטר יש לנו חברה לדאוג לה – חזרה לעבודה." כך סיפר קום בהודעת דואר אלקטרוני ששלח בתגובה למערכת אתר Ars Technica.