Vylepšení zabezpečení WhatsAppu: Šifrované zálohy

21. září 2021 | Blog, Lepkavý

WhatsApp, společnost vlastněná Facebookem, je mobilní aplikace, která umožňuje uživatelům posílat textové zprávy, hlasové hovory a sdílet dokumenty s ostatními uživateli WhatsAppu. Možná se divíte, proč vám aplikace zní povědomě, pravděpodobně je to kvůli útoku Jeffa Bezose v roce 2018, kdy byl jeho telefon hacknut a útočník ukradl osobní údaje v hodnotě gigabajtů. To vedlo ke zveřejnění inkriminujících fotografií Bezose s milenkou, k velmi veřejnému rozvodu a pečeně na Oscarech od Chrise Rocka... a to vše kvůli kybernetickému útoku, do kterého byl zapojen WhatsApp. WhatsApp pracuje na zlepšení své bezpečnostní pověsti již od útoku na Bezose v roce 2018.

10. září 2021, WhatsApp oznámila, zavede podporu pro end-to-end šifrované zálohy chatů v cloudu pro uživatele Androidu a iOS, což umožňuje ukládání informací, jako jsou chatové zprávy a fotografie, do Apple iCloudu nebo Google Drive v kryptograficky bezpečným způsobem. Při správné implementaci může end-to-end šifrování zabránit zaměstnancům WhatsAppu ve špehování uživatelů. Za normálních okolností by to nebyl problém, ale když je WhatsAppu vydána předvolání, musí jej, pokud je to možné, dodržet. End-to-end šifrování brání i zaměstnancům WhatsAppu v tom, aby zachytili a předali tyto historie chatových zpráv úřadům.

Předchozí bezpečnostní funkce

Zpět na 2016, WhatsApp s podporou End-to-End Šifrování (E2EE) pro osobní zprávy, hovory, videochaty a média mezi odesílateli a příjemci. Problém s tímto řešením E2EE se týká zálohovaných dat uživatelů v cloudu. Při přenosu konverzací nebo dat z uživatelských zařízení nebyla stejná bezpečnostní ochrana E2EE možná, takže zálohy si mohli přečíst zaměstnanci WhatsAppu, vládní agentury s předvoláním, samotní poskytovatelé cloudových služeb a dokonce i hackeři uvnitř sítí poskytovatelů cloudových služeb.

Nová funkce

Volitelná funkce bude spuštěna v září 2021, ale bude fungovat pouze na primárních zařízeních propojených s uživatelským účtem; nikoli na doprovodných zařízeních, jako jsou stolní počítače nebo notebooky, které jednoduše zrcadlí obsah WhatsAppu na telefonech. WhatsApp učinil prohlášení v dokumentu whitepaper:

„Se zavedením end-to-end šifrovaných záloh vytvořil WhatsApp úložiště záložních klíčů založené na HSM (Hardware Security Module), které bezpečně ukládá šifrovací klíče pro jednotlivé uživatele v úložišti odolném proti neoprávněné manipulaci, a tím zajišťuje silnější zabezpečení historie zpráv uživatelů.“

Pokud jsou zálohy šifrovány od začátku do konce, aplikace před uložením záloh do cloudu zašifruje chatovací zprávy a veškerá data zpráv (textové zprávy, fotografie, videa atd.) pomocí náhodného klíče vygenerovaného v zařízení uživatele. Klíč vygenerovaný zařízením, který šifruje zálohu, je zabezpečen heslem zadaným uživatelem, které je uloženo v trezoru, aby bylo možné zařízení snadno obnovit v případě krádeže.

Uživatelé mají alternativně možnost zadat 64místný šifrovací klíč místo hesla, ale v tomto scénáři bude nutné šifrovací klíč ukládat ručně, protože již nebude odesílán do trezoru záložních klíčů HSM. Pokud majitel účtu potřebuje přístup ke své záloze, může tak učinit pomocí hesla nebo 64místného klíče, který se následně použije k načtení šifrovacího klíče ze trezoru záložních klíčů a dešifrování záloh.

Trezor je geograficky rozptýlen v pěti datových centrech a je zodpovědný za vynucení ověření hesla a také za znepřístupnění klíče po stanoveném počtu neúspěšných pokusů o přihlášení, čímž se snižuje pravděpodobnost útoku. útoky hrubou silou.

Co byste teď měli dělat?

Pokud jste uživatelem WhatsAppu, měli byste se vyhnout používání WhatsAppu, dokud nebude tato nová funkce spuštěna. Jakmile bude funkce vydána, CyberHoot doporučuje tuto volitelnou funkci povolit, aby se snížila pravděpodobnost narušení ochrany osobních údajů.

Důležitá doporučení pro malé a střední podniky od CyberHoot

Zatímco čekáte na vydání nové bezpečnostní funkce E2EE ve What's App, je nezbytné implementovat následující doporučení CyberHoot:

Přijměte a Password Manager pro lepší hygienu osobních/pracovních hesel
Vyžadovat dvoufaktorová autentizace na všechny Řešení SaaS a kritické účty
Vyžadovat hesla o délce 14 a více znaků Zásady řízení a technologické konfigurace
Školit zaměstnance odhalit a vyhnout se e-mailovým Phishing Útoky
Otestujte, zda zaměstnanci dokáže rozpoznat a vyhnout se phishingovým e-mailům
Zálohujte data pomocí Metoda 3-2-1
Začlenit Princip nejmenšího privilegia
Proveďte posouzení rizik každé dva až tři roky
Najměte si profesionálního virtuálního ředitele pro informační bezpečnost (vCISO) vám poradí, provede a vybuduje váš program kybernetické bezpečnosti za zlomek ceny, kterou byste zaplatili za najmutí zaměstnance na plný úvazek.