Peningkatan Keselamatan WhatsApp: Sandaran Disulitkan

WhatsApp, syarikat milik Facebook, ialah aplikasi mudah alih yang membolehkan pengguna menghantar mesej teks, panggilan suara dan berkongsi dokumen dengan pengguna WhatsApp yang lain. Anda mungkin tertanya-tanya mengapa apl itu terdengar biasa, ia mungkin disebabkan oleh serangan Jeff Bezos pada 2018 di mana telefonnya digodam dan penyerang itu mencuri data peribadi bernilai GB. Ini membawa kepada gambar-gambar yang membebankan dikeluarkan secara terbuka Bezos dengan perempuan simpanannya, perceraian yang sangat terbuka, dan panggang di Oscar oleh Chris Rock, semuanya kerana serangan siber yang melibatkan WhatsApp. WhatsApp telah berusaha untuk meningkatkan reputasinya yang berkaitan dengan keselamatan sejak serangan Bezos 2018.

Pada 10 September 2021, WhatsApp mengumumkan ia akan melancarkan sokongan untuk hujung ke hujung disulitkan sandaran sembang di awan untuk pengguna Android dan iOS, membuka jalan untuk menyimpan maklumat seperti mesej sembang dan foto dalam Apple iCloud atau Google Drive dalam secara kriptografi cara selamat. Apabila dilaksanakan dengan betul, penyulitan hujung ke hujung boleh menghalang pekerja WhatsApp daripada mengintip penggunanya. Biasanya, ini tidak akan menjadi isu, tetapi apabila sepina dikeluarkan kepada What's App mereka mesti mematuhi jika mereka mampu. Penyulitan hujung ke hujung menghalang walaupun pekerja WhatsApp daripada dapat menangkap dan menyerahkan sejarah mesej sembang ini kepada pihak berkuasa.

Ciri Keselamatan Sebelumnya

Kembali pada 2016, WhatsApp mendayakan Hujung-ke-Hujung Penyulitan (E2EE) untuk mesej peribadi, panggilan, sembang video dan media antara penghantar dan penerima. Masalah dengan penyelesaian E2EE ini berkaitan dengan data sandaran pengguna dalam awan. Apabila memindahkan perbualan atau data daripada peranti pengguna, perlindungan keselamatan E2EE yang sama tidak dapat dilakukan, menjadikan sandaran boleh dibaca oleh kakitangan WhatsApp, agensi kerajaan dengan sepina, penyedia awan itu sendiri dan juga penggodam dalam rangkaian pembekal awan.

Ciri Baharu

Ciri pilihan akan disiarkan secara langsung pada September 2021, tetapi hanya akan berfungsi pada peranti utama yang terikat pada akaun pengguna; bukan peranti pendamping seperti desktop atau komputer riba yang hanya mencerminkan kandungan WhatsApp pada telefon. WhatsApp membuat kenyataan dalam kertas putih:

“Dengan pengenalan sandaran disulitkan hujung ke hujung, WhatsApp telah mencipta Bilik Kekunci Sandaran berasaskan HSM (Modul Keselamatan Perkakasan) untuk menyimpan kunci penyulitan setiap pengguna dengan selamat untuk sandaran pengguna dalam storan tahan gangguan, sekali gus memastikan keselamatan lebih kukuh bagi sejarah mesej pengguna.”

Dengan sandaran disulitkan hujung ke hujung didayakan, sebelum menyimpan sandaran dalam awan, aplikasi menyulitkan mesej sembang dan semua data pemesejan (teks, foto, video, dll.) menggunakan kunci rawak yang dijana pada peranti pengguna. Kunci yang dijana peranti yang menyulitkan sandaran dijamin dengan kata laluan yang disediakan pengguna, yang disimpan dalam peti besi untuk membolehkan pemulihan mudah sekiranya peranti dicuri.

Sebagai alternatif, pengguna mempunyai pilihan untuk menyediakan kunci penyulitan 64 digit dan bukannya kata laluan, tetapi dalam senario ini, kunci penyulitan perlu disimpan secara manual memandangkan ia tidak lagi akan dihantar ke Bilik Kekunci Sandaran HSM. Apabila pemilik akaun memerlukan akses kepada sandaran mereka, ia boleh dilakukan dengan bantuan kata laluan atau kunci 64 digit, yang, seterusnya, digunakan untuk mendapatkan semula kunci penyulitan daripada peti besi kunci sandaran dan menyahsulit sandaran mereka.

Bilik kebal secara geografi bertaburan di lima pusat data dan bertanggungjawab untuk menguatkuasakan pengesahan kata laluan serta menjadikan kunci tidak boleh diakses selepas beberapa set percubaan log masuk yang tidak berjaya; mengurangkan kemungkinan serangan kekuatan kasar. 

Apa Yang Perlu Anda Lakukan Sekarang?

Jika anda pengguna WhatsApp, anda harus mengelak daripada menggunakan WhatsApp sehingga ciri baharu ini dilancarkan. Sebaik sahaja ciri itu dikeluarkan, CyberHoot mengesyorkan agar ciri pilihan ini didayakan untuk mengurangkan kemungkinan pelanggaran privasi data.

Syor Penting untuk SMB daripada CyberHoot

Semasa anda menunggu ciri keselamatan What's App E2EE baharu dikeluarkan, adalah penting anda melaksanakan pengesyoran CyberHoot berikut: 

• Mengamalkan a pengurus kata laluan untuk kebersihan kata laluan peribadi/kerja yang lebih baik
• Memerlukan pengesahan dua faktor pada semua Penyelesaian SaaS dan akaun kritikal
• Memerlukan 14+ aksara Kata laluan dalam anda Dasar Tadbir Urus dan konfigurasi teknologi
• Melatih pekerja untuk mengesan dan mengelakkan berasaskan e-mel Phishing serangan
• Uji pekerja itu boleh mengesan dan mengelakkan e-mel pancingan data
• Sandarkan data menggunakan Kaedah 3-2-1
• Memasukkan Prinsip Keistimewaan Paling Rendah
• Lakukan a penilaian risiko setiap dua hingga tiga tahun
• Upah seorang Ketua Pegawai Keselamatan Maklumat maya profesional (vCISO) untuk menasihati, membimbing dan membina program keselamatan siber anda pada sebahagian kecil daripada kos pengambilan FTE.

Sumber:

Berita Hacker

Mint

Bacaan Tambahan: 

Jeff Bezos dan Kepincangan Keselamatan WhatsApp

Bagaimana Facebook Melemahkan Perlindungan Privasi untuk 2 Bilion Pengguna WhatsAppnya

Ketahui cara CyberHoot boleh menjamin perniagaan anda.

Jadualkan demo