web-dev-qa-db-ja.com

プッシュ通知のペイロードも暗号化する必要がありますか?

完全にエンドエンドの暗号化されたアプリがある場合、APNSまたはGCMに送信されるプッシュメッセージも暗号化する必要があります。

ペイロードには、uid n conversation gidからのメッセージIDのみが含まれます。これを暗号化しないと大きなリスクはありますか?

WhatsAppやSignalなどの他のアプリはどのように実行しますか?シグナルを読んだだけで、ウェイクアップコールが送信されますが、プッシュ通知のペイロードに詳細はありません。

5
WiredTheories

これを暗号化する必要があると思います。プロファイリングデータリークのため、この情報には2つのクライアント間のチャット時間が含まれる可能性があり(メッセージが削除されても)、ブランディングに非常に適しています。完全に暗号化されたアプリケーションがあると言えます。しかし、実際のリスクを判断するには、「メッセージID」などの情報を使用して、ユーザーについて何を取得できるかを自問する必要があります。つまり、データベースとサーバーにアクセスできるすべての人を指します。誰から、誰のためのメッセージを見つけられますか?はいの場合、そのデータ漏洩リスク。

あなたが信号アプリについて this リンクを使用すると、デスクトップアプリケーションでデータリークが発生します(ただし、悪夢のような通知でテキスト本文を送信します)が、あなたの場合、クライアントにテキスト本文を送信しません。 。

whats app faq によると:メッセージ、写真、ビデオ、ボイスメッセージ、ドキュメント、ステータスの更新、および通話は、悪意のある人物の手に渡るのを防ぎます。

通知を暗号化していないようです。しかし zulip mobile 通知を暗号化する

1
Benyamin

それはすべて、ユーザー/クライアントに必要なセキュリティのレベル、またはユーザー/クライアントに必要なものに依存します。通常、メッセージIDは、会話を知りたい攻撃者にとってはそれほど多くの情報ではありません。

Whatsappの方法はわかりませんが、Apple has NNotificationServiceExtension これにより、APNSを介して通知のペイロードを完全に暗号化し、表示する前にアプリで復号化を行うことができますAndroidにも同様のAPIがあるはずです。

そして、これを非常に簡単に行うのに役立つAPIがすでにあるので、なぜ暗号化しないというリスクを取るのですか?

0
daygoor