Zaskrbljujoč interni zapisek varnostne ekipe podjetja WhatsApp je razkril resno ranljivost. Whatsapp naj bi vladnim agencijam omogočal, da zaobidejo priznano šifriranje aplikacije in sledijo komunikaciji uporabnikov.
V nerazkriti oceni nevarnosti, ki so jo pridobili raziskovalni novinarji portala The Intercept, je opozorjeno, da čeprav vsebina sporočil WhatsApp ostaja zaščitena, lahko razkrijejo, “kdo je v skupini, kdo komu pošilja sporočila in kdo koga kliče”.
V poročilu, poslanem višjemu vodstvu družbe Meta Platforms (META), so WhatsAppovi inženirji razkrili, da so nacionalne države aktivno “obšle šifriranje [Meta].
Da bi dostopale do zasebnih metapodatkov uporabnikov ki bi morali biti varni. Čeprav v zapisniku ni navedeno, katere države izkoriščajo to pomanjkljivost, je v njem izpostavljen zaskrbljujoč scenarij razširjenega vladnega nadzora.
Analiza prometa v aplikaciji WhatsApp lahko razkrije pripadnosti uporabnikov
Ranljivost je mogoče izkoristiti s tehniko, imenovano “analiza prometa”, ki vključuje opazovanje vzorcev v šifriranih internetnih podatkovnih tokovih in ne razbijanje samega šifriranja.
Tudi če sporočila, ki si jih izmenjujejo uporabniki, niso pomembna z vidika vsebine, lahko skoki aktivnosti med določenimi uporabniki razkrijejo povezave med njimi.
“Pregled in analiza omrežnega prometa sta za nas popolnoma nevidna, vendar razkrivata povezave med našimi uporabniki,” je pojasnjeno v oceni.
Čeprav bi to zahtevalo prefinjene zmogljivosti nadzora z vdorom v komunikacijsko infrastrukturo države, je v zapisniku razkrito, da gre za več kot le teoretične tehnike.
Poročilo namiguje, da analizo prometa dejavno uporabljajo države, ki so sklenile sporazume o izmenjavi podatkov, kot je zavezništvo ” Five Eyes”, ki vključuje Avstralijo, Kanado, Združeno kraljestvo, Novo Zelandijo in Združene države Amerike.
Drug primer je uporaba te tehnologije v državah z infrastrukturo, ki jo uporabljajo sosednje ali okupirane države. To bi se lahko nanašalo na Izrael, ki je bil obtožen, da uporablja takšno tehnologijo za napade na domnevne borce na sosednjem območju Gaze med trenutnim oboroženim spopadom.
Christina LoNigro, tiskovna predstavnica podjetja Meta Platforms, je povedala: “WhatsApp nima nobenih varnostnih vrat in nimamo dokazov o ranljivostih v delovanju WhatsAppa.”
Vendar pa strokovnjaki opozarjajo, da Meta že nekaj časa ignorira težave, ki vplivajo na njihove aplikacije. Dokler ne postanejo preveč opazne ali javno znane, da bi jih lahko še naprej pometali pod preprogo.
“Meta je zaskrbljujoče nagnjena k ignoriranju težav, dokler ne prerastejo v velike probleme,” je za The Intercept pripomnil anonimni vir v podjetju.“
V ospredju sta vedno tržni delež in prevlada, pri čemer ima največja baza uporabnikov prednost pred manjšo skupino, ki bi lahko bila bistveno oškodovana,” je dodal vir.
Inženirji se strinjajo, da težava presega trenutne varnostne mehanizme družbe WhatsApp.”Najprej se moramo vsi strinjati, da se bomo lotili tega boja in delovali kot ena ekipa, da bi vzpostavili zaščito za te ogrožene in ciljno usmerjene uporabnike.
Poročilo opozarja na atentate v Gazi, ki jih je spodbujal digitalni nadzor
“To nedavno interno opozorilo je vznemirilo zaposlene v družbi WhatsApp in vzbudilo skrb, da bi zlasti Izrael lahko izkoristil ranljivost pri svojih visokotehnoloških prizadevanjih za prepoznavanje in ubijanje Palestincev, ki veljajo za vojaško grožnjo, kar bi povzročilo veliko škodo.”
Izraelske operacije “ciljnega ubijanja” na območju Gaze so zdaj bistveno odvisne od digitalnega nadzora in sistemov umetne inteligence. Nove tehnologije se uporabljajo za analizo obsežnih zbirk podatkov, zbranih od prebivalcev sosednje regije.
V skupni preiskavi, ki sta jo izvedli izraelska revija +972 in Local Call, je bilo prejšnji mesec razkrito, da izraelska vojska uporablja programsko platformo z imenom “Lavender”.
Ta platforma avtonomno primerja mobilne podatke, internetne dejavnosti in različne druge vire ter vsakemu Palestincu, ki prebiva v Gazi, dodeli oceno tveganja od 1 do 100, s čimer oceni, ali je verjetno, da je borec.
Po navedbah virov v izraelski vojaški obveščevalni službi se pri izbiri Palestincev, ki bodo tarča smrtonosnih napadov z brezpilotnimi letali in drugih smrtonosnih operacij, v veliki meri zanašajo na visoke ocene Lavenderja.
Kot ena od posebnih podatkovnih točk, ki se uporabljajo v teh sistemih za ciljanje z umetno inteligenco, je bila navedena aktivnost v aplikaciji WhatsApp.
“Uporaba WhatsAppa je med številnimi osebnimi značilnostmi in digitalnim vedenjem, ki jih izraelska vojska uporablja za označevanje Palestincev za smrt,” je po razkritju Lavenderja poročal The Intercept. Aplikacija za sporočanje je še vedno zelo priljubljena med 2,3 milijona prebivalcev Gaze.
Matično podjetje WhatsApp, Meta, je ostalo očitno tiho glede morebitne zlorabe svoje platforme, ki je bila dodatek k tem poročilom. Ko smo ga prosili za komentar, je LoNigro vztrajal, da je bil zapisnik o analizi prometa zgolj “teoretičen” in se ni nanašal na določeno ranljivost, ki je bila odkrita v programski opremi podjetja.
LoNigro ni želel povedati, ali je Meta raziskala, ali Izrael izkorišča ranljivost proti palestinskim uporabnikom, kot je opozorjeno v sporočilu.
Meta ni posebej zainteresirana za odpravo težave – zakaj?
Ocena poudarja, da se WhatsAppova varnostna ekipa zaveda resnosti grožnje. Hkrati pa izpostavlja dilemo, da bi učinkovito preprečevanje napadov na analizo prometa lahko zmanjšalo uporabnost aplikacije.
Metode, kot so umetne zamude pri dostavi sporočil ali neprekinjeno pošiljanje podatkov “vabe”, bi lahko preprečile poskuse vohunjenja.
Vendar bi verjetno povzročile počasnejše delovanje in hitrejše praznjenje baterije za uporabnike aplikacije WhatsApp.
Ti kompromisi bi lahko podjetje Meta odvrnili od uvedbe takšnih rešitev, kar bi lahko ogrozilo njegovo konkurenčnost v primerjavi s konkurenčnimi aplikacijami, kot sta Telegram in Signal. Poleg tega se Meta morda ne bo odločila za dodelitev dragocenih inženirskih virov za reševanje tega vprašanja.
Poleg tega so inženirji poudarili, da se te predlagane rešitve lahko obrnejo proti njim, saj bi jih lahko uporabili tudi prometni analitiki za ugotavljanje vzorcev.
Digitalni odtisi omogočajo državam izvajanje vojn s ciljno usmerjenim pristopom
“Današnje storitve sporočilnikov niso bile zasnovane tako, da bi te metapodatke skrivale pred nasprotnikom” je poudaril Green. “Zaščita vsebine je le polovica uspeha. Druga polovica je, s kom komunicirate in kdaj.”
Konflikt v Gazi je pokazal, kako se digitalne rešitve uporabljajo za množično ciljanje in vodene raketne napade. Med potekajočim konfliktom v Gazi je vse več poročil o umorih, ki jih je izvajala umetna inteligenca.
To je sprožilo veliko ogorčenje javnosti zaradi vpletenosti velikih tehnoloških podjetij v pomoč vojaškim enotam pri prepoznavanju tarč s pomočjo analize digitalnih odtisov posameznikov.
Meta in druga podjetja so pod vse večjim notranjim in zunanjim pritiskom, da spremenijo način, kako njihova orodja prednostno obravnavajo zasebnost uporabnikov. Ta premik ni namenjen le nekaterim posameznikom, temveč je temeljni vidik njihove zasnove.