Un incident recent, în care un jurnalist a fost adăugat accidental într-un grup de discuție al oficialilor de rang înalt de la Casa Albă, a atras atenția asupra riscurilor asociate platformelor de mesagerie. În acel caz, a fost vorba de o eroare umană. Dar ce se întâmplă dacă o platformă precum WhatsApp ar permite unui actor malițios să facă același lucru, fără ca utilizatorii să fie conștienți?
Un studiu recent realizat de cercetători de la King’s College din Londra confirmă că, deși WhatsApp folosește criptare end-to-end, sistemul său de gestionare a grupurilor nu este protejat criptografic. Asta înseamnă că serverul WhatsApp are capacitatea de a adăuga membri într-un grup fără semnătura unui utilizator existent, ceea ce deschide o posibilă vulnerabilitate, mai ales în contexte sensibile.
Vulnerabilitate discretă, dar reală
Analiza a confirmat că WhatsApp funcționează conform descrierilor oficiale și oferă criptare robustă pentru mesaje. Însă lipsa unui mecanism criptografic pentru validarea noilor membri în grupuri permite serverului, sau unei entități care îl controlează, să adauge utilizatori fără consimțământul direct al membrilor existenți.
„Clientul WhatsApp afișează notificarea că cineva a fost adăugat în grup, dar nu poate împiedica acest lucru,” a declarat Martin R. Albrecht, cercetător principal. Cu alte cuvinte, un atacator care preia controlul asupra serverului WhatsApp ar putea insera discret un utilizator într-un grup de discuții, fără ca ceilalți să remarce modificarea.
Cât de gravă este problema?
În mod evident, riscul ca un grup obișnuit, cum ar fi al părinților unei echipe de fotbal, să fie vizat este extrem de mic. Însă pentru grupuri care discută informații confidențiale, cum ar fi oficiali guvernamentali sau activiști, acest tip de breșă poate avea consecințe serioase.
Lipsa acestui tip de protecție nu este exclusivă WhatsApp-ului. Cercetări anterioare au identificat vulnerabilități similare și în Matrix, o platformă de mesagerie open-source. Telegram, de exemplu, nici măcar nu oferă criptare end-to-end în conversațiile de grup.
Singura platformă analizată care oferă un sistem criptografic complet pentru gestionarea membrilor de grup este Signal. Aceasta folosește o cheie de control („GroupMasterKey”) transmisă doar administratorilor autentificați, care pot semna și valida modificările în lista de membri. Astfel, nici măcar serverul Signal nu are acces la structura grupului.
O problemă de identificare
Chiar și în cazul Signal, identitatea utilizatorilor nu este verificată automat. Oricine poate crea un cont sub orice nume. Totuși, aplicația oferă o metodă de verificare a „numerelor de siguranță”, care permite utilizatorilor să confirme reciproc, prin canale sigure, identitatea celor cu care comunică.
Această verificare a lipsit într-un caz notabil: fostul consilier pentru securitate națională Mike Waltz a adăugat din greșeală un jurnalist într-un grup Signal, fără să confirme identitatea acestuia. Incidentul subliniază importanța verificării riguroase, indiferent de aplicația folosită.
Reacția WhatsApp
WhatsApp a recunoscut existența comportamentului semnalat, dar susține că oferă notificări vizibile atunci când un nou membru este adăugat. Compania afirmă că „va continua să adauge noi straturi de protecție” pentru utilizatori.
Totuși, cercetătorii atrag atenția că lipsa unui control criptografic real poate deveni un punct slab în cazuri speciale, mai ales când serverul este compromis sau accesat de persoane cu privilegii ridicate.
