Aplikacje do komunikacji przez internet jak WhatsApp prześcigają się w dodawaniu nowych funkcji, aby zachęcić użytkowników do korzystania właśnie z tego produktu. Nie da się ukryć, że wiele osób ceni sobie bezpieczeństwo danych, więc szczególnie zwraca uwagę na metody szyfrowania wiadomości czy formy uwierzytelniania i potwierdzania tożsamości podczas logowania. Ale czy zastanawialiśmy się kiedyś, kto może dezaktywować wasze konto? Okazuje się, że to mogą być osoby trzecie… i wcale nie chodzi o pracowników Meta.
Kolejne kroki ochrony prywatności
Ostatni czas to dla aplikacji WhatsApp szereg nowych zmian, głównie dotyczących prywatności. Na początku czerwca pojawiły się Kanały – grupowe czaty, które miały zapewnić większą poufność, a następnie opcja wyciszenia nieznanych osób dzwoniących. Kolejne zmiany objęły WhatsApp Business, dając możliwość wysyłania spersonalizowanych wiadomości do klientów. Tydzień temu informowaliśmy natomiast o funkcji Phone numer privacy, dostępnej dla członków danej Społeczności, którzy chcą zachować swój numer tylko dla siebie.
WhatsApp pozwala na dezaktywacje konta obcej osobie
Mogłoby się wydawać, że WhatsApp faktycznie obrał właściwą ścieżkę. W odróżnieniu na przykład od Messengera, gdzie szyfrowanie wiadomości nie jest aktywne jako funkcja domyślna. W takiej sytuacji określonych przypadkach nasze rozmowy mogą być użyte np. jako dowód w sprawie sądowej, jak miało to miejsce ostatnio podczas dochodzenia związanego z aborcją.
Ale wróćmy do tematu. Użytkownik Jake Moore, który opisuje ten problem na swoim Twitterze, podaje, że konto na WhatsAppie mogą dezaktywować osoby trzecie. Jak to możliwe? Proces wymaga tylko adresu e-mail i numeru telefonu i wygląda na to, że aplikacja nie używa żadnej innej formy weryfikacji, aby upewnić się, że nie robi tego ktoś inny.
Użytkownik sam sprawdził, czy tak to działa
Analizując, jakie kroki należy podjąć, aby dezaktywować konto zgodnie z treścią instrukcji zamieszczonej w Centrum Pomocy WhatsAppp, mamy opcję:
Prześlij nam wiadomość e-mail z treścią „Zgubiony/skradziony: proszę dezaktywuj moje konto” i podaj swój numer telefonu w pełnym formacie międzynarodowym, jak opisano tutaj.
Centrum Pomocy WhatsApp
Moore zauważył, że WhatsApp nie weryfikuje tożsamości właściciela podczas dezaktywacji kont. Ale sprawdził to sam. Wysłał prośbę o dezaktywację z adresu e-mailowego niepowiązanego z kontem testowym, a WhatsApp wyłączył konto.
Użytkownicy nie otrzymują informacji o dezaktywacji za pośrednictwem wiadomości SMS lub w inny sposób na powiązany numer telefonu.
Świadczy to tylko o tym, że mimo że WhatsApp firmy Meta walczy ostatnio z kolejnymi zabezpieczaniami mającymi zapewnić nam większą prywatność, nadal ma luki w systemie.
Jak działa szyfrowanie wiadomości na WhatsApp?
WhatsApp (w odróżnieniu na przykład od Messengera) ma wbudowane pełne szyfrowanie wiadomości, zdjęć, filmów, wiadomości głosowych, dokumentów, aktualizacji statusów i połączeń, co zabezpiecza treści przed dostaniem się w niepowołane ręce.
- Generowanie kluczy: Kiedy instalujemy WhatsApp na swoim urządzeniu, aplikacja generuje parę kluczy publicznych i prywatnych. Klucz publiczny jest udostępniany innym, podczas gdy klucz prywatny jest przechowywany tylko na urządzeniu i nigdy nie jest udostępniany.
- Wysyłanie wiadomości: Kiedy wysyłamy wiadomość, jest ona szyfrowana za pomocą klucza publicznego odbiorcy. Tylko klucz prywatny odbiorcy może odszyfrować tę wiadomość.
- Odbieranie wiadomości: Na podobnej zasadzie działa otrzymywanie wiadomości – treści są zaszyfrowane za pomocą klucza publicznego, a urządzenie adresata używa swojego klucza prywatnego do odszyfrowania wiadomości.
- Weryfikacja: WhatsApp oferuje również kod weryfikacyjny, którego można użyć do potwierdzenia, że wiadomości są szyfrowane end-to-end. Ten kod jest unikalny dla każdej rozmowy i może być zeskanowany lub porównany wizualnie.
Źródło: ghacks.net