Under den gångna tisdagen svämmade tekniktidningarna över med rubriker om en sårbarhet som hittats i den populära chattappen Whatsapp. Sårbarheten gjorde att angripare kunde installera spionprogram på Whatsapp-användares mobiler genom att ringa ett simpelt samtal (d.v.s. infektera mobiler utan krav på användarinteraktion).
Med anledning av rapporteringen kring incidenten finns det behov av förtydliganden och korrigeringar på två punkter:
- inget tyder på att ”vanliga användare” har avlyssnats
- sårbarheten har inget med end-to-end-kryptering att göra.
Inget hot mot vanliga användare
Sårbarheten är självfallet mycket allvarlig, men det finns inget som tyder på att den har utnyttjats på bred front. Även om det inte finns några siffor på omfattningen som den har använts i, är det sannolikt att den endast har använts i högprofilerade attacker mot speciellt utvalda måltavlor (läs: ”måltavlor som blivit utvalda av statsunderstödda organisationer”).
Facebook (Whatsapps ägare) har släppt en uppdatering av appen som åtgärdar sårbarheten. Det enda som vi användare behöver göra är därför att installera den senaste versionen från Google Play (Android) respektive App Store (IOS). Observera att säkerhetsbristen gäller både vanliga Whatsapp och Whatsapp Business. Facebook har beklagligt nog inte skrivit något om sårbarheten i apparnas publika versionsdokumentation, men på en dedikerad webbsida listar de åtminstone alla sårbara versioner.
Galen Bloomberg-krönika om E2E-kryptering
Whatsapp stöder så kallad E2E-kryptering (end-to-end-kryptering), något vår rekommenderade chattapp Signal alltid använder som standard. E2E-kryptering innebär att informationen krypteras på den avsändande enheten och inte dekrypteras förrän den har nått den mottagande enheten. Därigenom får ingen utomstående part insyn i informationen som överförs (inte ens Facebook som driver Whatsapp-tjänsten eller Open Whisper Systems som driver Signal-tjänsten).
Med anledning av sårbarheten i Whatsapp publicerade nyhetsjätten Bloomberg en krönika om E2E-kryptering. På deras webbplats går krönikan under rubriken End-to-End Encryption Isn’t as Safe as You Think och på Twitter puffas krönikan med texten WhatsApp’s hack shows end-to-end encryption is largely pointless. Detta är gravt vilseledande påståenden.
E2E-kryptering löser självfallet inte världens alla säkerhetsproblem, men det är en otroligt viktig del i skyddet av känslig information. Faktumet att E2E-kryptering inte skyddar informationen mot infekterade mobiler förändrar inget. E2E-krypteringen fyller ändå sin funktion till fullo. Den skyddar mot avlyssning och mot förändring av informationen under transit. Om en av slutpunkterna är infekterade kan det inte liknas vid något annat än att en spion står och stirrar över axeln på den ena konversationspartnern. För att skydda sig mot sådana attacker krävs ett annat skydd, vilket i kombination med E2E-kryptering gör den digitala kommunikationen säker.
I veckans podd (som släpps på imorgon) liknar vi Bloomberg-krönikörens påståenden vid behovet av säkerhetsbälte i bilen. Ett säkerhetsbälte inte skyddar inte mot alla olyckor i trafiken, men det betyder inte att säkerhetsbältet ”isn’t as safe as you think” eller att säkerhetsbältet är ”largely pointless”. Säkerhetsbältet är tvärtom precis så säkert som jag tror och raka motsatsen till poänglöst.
Krönikan innehåller några klokheter, till exempel att användare inte bör lägga övertro till buzzwords, men det väger inte upp för de felaktiga påståendena. Bloomberg-krönikan avslutas med texten ”truly secure communication is really only possible in the analog world — and then all the old-school spycraft applies.” Det är rent struntprat. Bloomberg borde arkivera krönikan och gå ut med en rättelse.
Kommentarer
Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.