web-dev-qa-db-ja.com

Facebookは、顧客に気付かれずにWhatsApp E2E暗号化を破ることができますか?

WhatsApp経由で送信された「偽のニュース」を検閲できないと不平を言う企業メディアからの多くのレポートを読みました。主流メディアは、「偽のニュース」のために間違った人物がブラジルで選出されたと主張しています。

現在、Facebook WhatsAppはE2E暗号化されており、検閲は不可能です。 Facebookは、顧客に気づかれることなくWhatsApp E2E暗号化を破り、検閲を追加できますか?独立したセキュリティ研究者は、Facebookが通信を読むことができるかどうか通知しますか?

1
Ivanov

FacebookはWhatsApp環境内のすべて、つまり電話のアプリケーション、Webアクセス、メッセージの転送を制御します。このため、エンドユーザーが気付かない方法でセキュリティを低下させる変更を加えることもできます。また、セキュリティ専門家がどこを見るか本当にわかっていなければ気付かないような方法で変更を加えることもあります。

WhatsAppがこれを行わない唯一の種類の保証は、E2Eセキュリティを重要な機能の1つとして販売していること、およびWhatsAppが意図的にセキュリティを低下させたことが公開された場合、多くの信頼(および顧客)を失うことです。そして、誰かが実際にWhatsApp内で必要な変更を行う必要があり、これらの変更は情報漏えいの副作用ももたらすことを考えると(それが彼らが追加された主なポイントであるため)、それはおそらく、このようなバックドアは製品に含まれています。

3
Steffen Ullrich

Facebook(または他の組織)がWhatsapp E2E暗号化を解除できるのは、ユーザーの秘密鍵/公開鍵を持っている場合のみです。また、製品を所有しているため、バックドアを導入して、何らかの方法でこれらのキーを漏らす可能性があります。

研究者はそれに気づくでしょうか?
おそらくはい、AndroidバージョンのWhatsappのAPKファイルをリバースエンジニアリングして分析することはそれほど難しいことではありません。さらに、研究者は、/ Whatsappからの奇妙な動作。

Facebookはリスクを取ることはできますか?
おそらくそうではありません!評判は企業が頼りにしているものです。依存している独立系のセキュリティ研究機関がたくさんあるので、それらの有名人の1人を落とすことで自分の名前を作るのに一生懸命取り組んでいます。

-edit-
誰も知らずにFacebookがWhatsappの検閲に使用できることは1つしか考えられません。 Whatsappでメディアファイル(おそらく長いテキストも)が口コミで広まると、Facebookは誰がその特定のメディアファイルをダウンロードしたか、そしてもちろんそれを最初にアップロードした人を確認できます。メディアファイルは暗号化されたWhatsappサーバーに常駐し、人々はその暗号化ファイルへのリンクとそれを復号化するために使用される対称鍵のみを共有します(E2E暗号化を使用して共有します)。また、従業員の1人がそのメディアファイルを受け取ったときの対称キーは自分の電話です。彼らはリンクを取り、誰がそのリンクをダウンロードし、誰が最初にそれをアップロードしたかをチェックします!

1
daygoor