WhatsApp dễ dàng là dịch vụ nhắn tin tức thời được sử dụng rộng rãi nhất cho điện thoại và máy tính bảng. Được thành lập vào năm 2009, dịch vụ này hiện đã bùng nổ với hơn 700 triệu người dùng đang hoạt động - nhiều hơn gần 250 triệu so với dịch vụ thay thế đứng thứ hai, WeChat của Trung Quốc. Kể từ khi được Facebook mua lại với giá 19 tỷ đô la vào 12 tháng trước, công ty đã buộc phải làm sạch cách tiếp cận đối với bảo mật và quyền riêng tư, dẫn đến thông tin năm ngoái rằng họ đã giới thiệu các biện pháp mã hóa mới.
Vấn đề là gì?
WhatsApp đã phải chịu vô số sự bối rối và phơi bày vì tính bảo mật kém của họ. Các vấn đề bắt đầu từ rất lâu trước đó vào tháng 5 năm 2011, khi một lỗ hổng bảo mật được phát hiện cho phép tài khoản của người dùng bị chiếm quyền điều khiển phiên của họ (truy cập trái phép vào thông tin bằng cách khai thác phiên sử dụng hợp lệ), đồng thời lưu lượng truy cập của họ bị chặn và ghi lại bởi một gói. người đánh hơi. Một phiên bản mới của ứng dụng đã được phát hành nhưng dữ liệu vẫn tiếp tục được gửi và nhận ở dạng bản rõ.
Khó khăn của họ tiếp tục kéo dài sang năm 2012. Vào đầu năm, một hacker đã xuất bản WhatsAppStatus.net, cho phép mọi người thay đổi trạng thái của bất kỳ người dùng nào của WhatsApp và các nhà phát triển ứng dụng phản hồi chậm - ban đầu tuyên bố lỗ hổng đã được sửa. trong khi thực tế họ chỉ chặn địa chỉ IP của trang web. Không có gì ngạc nhiên khi các công cụ tương tự sớm xuất hiện và công ty buộc phải đáp ứng theo cách mạnh mẽ hơn. Vào cuối mùa xuân, WhatsApp cuối cùng đã ngừng sử dụng bản rõ cho dữ liệu, nhưng phương pháp thay thế nó - một phương pháp mật mã - đã bị chỉ trích rộng rãi vì đã bị hỏng khi ra mắt.
Vào cuối năm 2013, một nhà nghiên cứu bảo mật ở Hà Lan tuyên bố bất kỳ ai có đủ kiến thức kỹ thuật đều có thể giải mã thông tin liên lạc được gửi trong ứng dụng nhờ một số "điểm yếu được ghi chép dài" - chủ yếu là sự thật WhatsApp đã sử dụng cùng một khóa mã hóa cho cả hai bên của cuộc trò chuyện. Thijs Alkemade, sinh viên tại Đại học Utrecht, người đã phát hiện ra lỗ hổng này, cho biết " Bạn nên cho rằng bất kỳ ai có thể nghe trộm kết nối WhatsApp của bạn đều có khả năng giải mã tin nhắn của bạn, nếu đã nỗ lực đủ ". Thêm", Người dùng WhatsApp không thể làm gì về điều này… ngoại trừ việc ngừng sử dụng nó cho đến khi các nhà phát triển có thể cập nhật nó ".
Gần đây nhất là vào tháng 11 năm 2014, WhatsApp chỉ đạt được hai trong số bảy điểm trên thẻ điểm nhắn tin an toàn của Electronic Frontier Foundation - mất điểm nhờ thực tế là nó đã sử dụng mã hóa mà nhà cung cấp có khóa, không có cách nào để xác minh danh tính của người dùng, và thiết kế bảo mật của nó không được ghi chép đầy đủ.
Phản hồi là gì?
Vào ngày 18 tháng 11 năm ngoái, chủ sở hữu mới của WhatsApp, Facebook đã quyết định chỉ cần đủ. Mặc dù Facebook không được đánh giá cao về tính minh bạch của riêng mình về quyền riêng tư và bảo mật, nhưng họ không muốn gây nguy hiểm cho việc mua lại mới đắt tiền của mình và có nguy cơ mất người dùng vào tay một dịch vụ đối thủ như Viber hoặc Tango.
Do đó, họ đã công bố mối quan hệ đối tác mới với Open Whisper Systems trong một thỏa thuận cuối cùng sẽ mang mã hóa end-to-end cho dịch vụ, hy vọng sẽ loại bỏ các lỗi của Gremlins trong ba năm trước. Open Whisper cho biết mã hóa mới sẽ là loại lớn nhất ở bất kỳ đâu trên thế giới và sẽ sử dụng TextSecure - một dịch vụ sử dụng khóa mật mã dành riêng cho từng thiết bị - để bảo vệ cơ sở người dùng khổng lồ của nó. Các chuyên gia nhanh chóng bị ấn tượng vì Wired tuyên bố giải pháp này " thực tế là không thể theo dõi ", và Wall Street Journal tuyên bố rằng" mã hóa mạnh đến mức ngay cả cơ quan thực thi pháp luật cũng không thể giải mã tin nhắn WhatsApp ".
Nó hoạt động như thế nào?
Thay vì lưu trữ các khóa để giải mã mã hóa trên một máy chủ tập trung do các nhà phát triển WhatsApp sở hữu và vận hành, mã hóa end-to-end hoạt động bằng cách chỉ lưu trữ các khóa trên thiết bị của người dùng. Khi được kết hợp với TextSecure, sử dụng giao thức có tên "bí mật chuyển tiếp" để cấp khóa mới cho mọi tin nhắn mới, thật dễ hiểu tại sao CEO Jan Koum của WhatsApp tuyên bố rằng họ đã " hiện đã xây dựng WhatsApp xung quanh mục tiêu ít người biết về bạn nhất có thể… Tôn trọng quyền riêng tư của bạn được mã hóa trong DNA của chúng tôi ".
Mã hóa hiện được dịch vụ sử dụng khác rất nhiều so với mã hóa được sử dụng bởi các ứng dụng nhắn tin tức thời tương tự và mạng xã hội, những người chủ yếu vẫn lưu trữ khóa trên máy chủ của riêng họ cũng như thiết bị của một người. Điều này có nghĩa là các công ty và chính phủ có thể truy cập nội dung tin nhắn và dữ liệu của bạn theo yêu cầu, cũng như giúp tin tặc dễ dàng truy cập vào thông tin cá nhân và riêng tư hơn.
Trên thực tế, động thái của WhatsApp là một phần của phong trào lớn hơn nhằm tăng cường quyền riêng tư của các công ty công nghệ hàng đầu, mặc dù không phải ai cũng hài lòng. Khi cả Apple và Google đều mở rộng dịch vụ mã hóa của họ trước thông báo về WhatsApp, Giám đốc FBI James Comey đã chỉ trích động thái này, cho rằng " con lắc hậu Snowden [bây giờ] đã quay quá xa ".
Tất cả các vấn đề đã được khắc phục chưa?
Cung cấp bảo mật hiệu quả không dễ dàng. Mặc dù WhatsApp rõ ràng đã đi sau một quãng đường dài so với trò chơi vào đầu thập kỷ, nhưng bản cập nhật cuối năm 2014 nghe có vẻ hoàn toàn chống được hacker. Đáng buồn thay, điều đó hiếm khi xảy ra và trong những ngày gần đây, nhiều báo chí tiêu cực đã xuất hiện đối với công ty có trụ sở tại Mountain View.
Mặc dù nội dung tin nhắn của người dùng dường như vẫn được bảo mật, nhưng một phần mềm đơn giản đã được phát hành có thể được tin tặc sử dụng để vượt qua các cài đặt bảo mật khác nhau - do đó cung cấp cho họ một cách để xem liệu người dùng đang trực tuyến hay ngoại tuyến, một cách để giám sát ảnh hồ sơ của một người, cách để xem trạng thái của người dùng và khả năng xem cài đặt bảo mật được cá nhân hóa của ai đó.
Phần mềm, được gọi là WhatsSpy Public, được tạo ra bởi một nhà phát triển Hà Lan và có thể tiết lộ dòng thời gian của trạng thái trực tuyến của người dùng được theo dõi, ngay cả khi người dùng đã bật các kiểm soát quyền riêng tư nghiêm ngặt nhất. " Bạn có thể nghĩ rằng bây giờ bạn đã đặt tất cả các tùy chọn thành 'không ai cả' mà bạn được an toàn, bảo mật, nhưng tôi vẫn có thể theo dõi các động thái của bạn trên WhatsApp "Nhà thiết kế phần mềm Maikel Zweerink cho biết. Tin tốt cho người dùng là phần mềm này rất khó thiết lập và sẽ chỉ có thể theo dõi người dùng trên Android đã root hoặc iPhone bị bẻ khóa - vì vậy nếu bạn sử dụng hệ điều hành" vani ". sẽ ổn.
WhatsApp vẫn chưa phản hồi chính thức về các cáo buộc, mặc dù một người trong cuộc có động thái hạ thấp vi phạm khi nói với giới truyền thông Vương quốc Anh rằng " Đây không phải là một vụ hack ... về bản chất, anh ấy đã xây dựng một chương trình chỉ ghi lại và theo dõi thông tin mà anh ấy có. vẫn truy cập vào ".
Mặc dù vậy, với thành tích tồi tệ của WhatApp, người dùng của nó khó có thể an ủi nhiều trong tuyên bố. Cho dù sự thật có thể là gì, vấn đề chỉ đơn giản là chỉ ra một thực tế quan trọng rằng bảo mật trong kỷ nguyên số không bao giờ được coi là đương nhiên; ngay cả khi bạn nghĩ rằng mình được bảo vệ, bạn có thể chắc chắn rằng có một tin tặc hoặc tội phạm đang tìm kiếm lỗi hoặc lỗ hổng tiếp theo để xâm phạm bạn.
Bạn nghĩ gì?
Bạn có sử dụng WhatsApp không? Có bao giờ lịch sử tồi tệ của nó khiến bạn không sử dụng dịch vụ không? Bạn đã thử một số lựa chọn thay thế nhắn tin nhưng luôn thấy mình bị thu hút trở lại ứng dụng phổ biến? Quyền riêng tư nói chung có liên quan đến bạn hay bạn đăng ký với tư duy "không có gì phải che giấu, không có gì phải sợ"?
Chúng tôi rất muốn nghe từ bạn. Hãy cho chúng tôi biết suy nghĩ của bạn trong phần bình luận bên dưới.