WhatsApp은 가장 널리 사용되는 휴대폰 및 태블릿용 인스턴트 메시징 서비스입니다. 2009년에 설립된 이 서비스는 현재 7억 명 이상의 활성 사용자로 폭발적으로 증가했으며 이는 2위인 중국의 WeChat보다 거의 2억 5천만 명이 더 많습니다. 12개월 전 놀라운 190억 달러에 Facebook에 인수된 이후 이 회사는 보안 및 개인 정보 보호에 대한 접근 방식을 정리해야 했고, 그 결과 작년에 새로운 암호화 조치를 도입했다는 뉴스가 나왔습니다.
무엇이 문제였습니까?
WhatsApp은 열악한 보안으로 인해 수많은 난처함과 노출을 겪었습니다. 문제는 2011년 5월에 사용자 계정이 세션 하이재킹(유효한 사용 세션을 악용하여 정보에 무단으로 액세스)을 허용하고 패키지가 트래픽을 가로채고 기록하도록 허용하는 보안 결함이 발견된 2011년 5월에 시작되었습니다. 손수건. 새 버전의 앱이 출시되었지만 데이터는 계속 일반 텍스트로 송수신되었습니다.
그들의 어려움은 2012년까지 계속되었습니다. 해커가 WhatsAppStatus.net을 게시하여 사람들이 WhatsApp 사용자의 상태를 변경할 수 있도록 했으며 앱 개발자는 초기에 결함이 수정되었다고 주장하는 응답이 느렸습니다. 실제로 그들은 웹사이트의 IP 주소를 차단했을 뿐입니다. 당연히 유사한 도구가 곧 나타났고 회사는 보다 강력한 방식으로 대응해야 했습니다. 늦봄이 되자 WhatsApp은 마침내 데이터에 일반 텍스트 사용을 중단했지만 암호화 방식의 대체 방식은 출시와 동시에 작동하지 않는다는 비판을 받았습니다.
2013년 말 네덜란드의 보안 연구원은 WhatsApp이 대화의 양쪽에서 동일한 암호화 키를 사용했다는 사실과 같은 여러 "오랜 문서화된 약점" 덕분에 충분한 기술 지식을 가진 사람이 앱 내에서 전송된 통신을 해독할 수 있다고 주장했습니다. 결함을 발견한 Utrecht 대학의 Thijs Alkemade는 "WhatsApp 연결을 도청할 수 있는 사람은 누구나 충분한 노력을 기울이면 메시지를 해독할 수 있다고 가정해야 합니다. ". 추가 "WhatsApp 사용자가 이에 대해 할 수 있는 일은 없습니다... 개발자가 업데이트할 때까지 사용을 중지하는 것 외에는 ".
최근 2014년 11월 WhatsApp은 Electronic Frontier Foundation의 보안 메시징 스코어카드에서 7점 만점에 2점에 그쳤습니다. 공급자가 키를 갖고 있는 암호화를 사용했기 때문에 점수를 잃었고 사용자의 신원을 확인할 방법이 없었습니다. 보안 설계가 제대로 문서화되지 않았습니다.
응답은 무엇이었습니까?
작년 11월 18일 WhatsApp의 새 소유자 Facebook은 충분하다고 판단했습니다. Facebook은 개인 정보 보호 및 보안에 대한 자체 투명성 측면에서 그다지 좋은 평가를 받지는 못하지만, 값비싼 신규 인수를 위태롭게 하고 Viber 또는 Tango와 같은 경쟁 서비스에 사용자를 잃을 위험을 감수하고 싶지 않았습니다.
결과적으로 그들은 마침내 서비스에 종단 간 암호화를 가져오고 이전 3년의 그렘린을 추방하는 거래에서 Open Whisper Systems와의 새로운 파트너십을 발표했습니다. Open Whisper는 새로운 암호화가 세계에서 가장 큰 종류가 될 것이며 개별 장치에 고유한 암호화 키를 사용하는 서비스인 TextSecure를 사용하여 거대한 사용자 기반을 보호할 것이라고 말했습니다. Wired는 솔루션이 "실제로 깨지기 어렵다 "이며 Wall Street Journal은 "암호화가 매우 강력하여 법 집행 기관도 WhatsApp 메시지를 해독할 수 없습니다 ".
작동 원리
WhatsApp 개발자가 소유 및 운영하는 중앙 집중식 서버에 암호화 해제를 위한 키를 저장하는 대신 사용자의 장치에만 키를 저장하는 방식으로 종단 간 암호화가 작동합니다. "forward secrecy"라는 프로토콜을 사용하여 모든 새 메시지에 대해 새로운 키를 발행하는 TextSecure와 결합하면 WhatsApp의 CEO인 Jan Koum이 "지금은 아는 것이 거의 없다는 목표를 중심으로 WhatsApp을 구축했다"고 주장한 이유를 쉽게 알 수 있습니다. 귀하에 대해 가능한 한… 귀하의 개인정보에 대한 존중은 저희 DNA에 코드화되어 있습니다. ".
현재 서비스에서 사용하는 암호화는 유사한 인스턴트 메시징 앱 및 소셜 네트워크에서 사용하는 것과 크게 다릅니다. 즉, 기업과 정부는 요청 시 메시지 내용과 데이터에 액세스할 수 있으며 해커가 개인 및 개인 정보에 더 쉽게 액세스할 수 있습니다.
사실 WhatsApp의 움직임은 모든 사람이 만족하는 것은 아니지만 선도적인 기술 회사의 개인 정보 보호 강화를 향한 더 큰 움직임의 일부입니다. Apple과 Google이 WhatsApp 발표를 앞두고 암호화 서비스를 확장했을 때 FBI의 James Comey 국장은 "스노든 이후의 추가 [현재] 너무 많이 흔들렸다. ".
모든 문제가 해결되었습니까?
효과적인 보안을 제공하는 것은 쉽지 않습니다. WhatsApp은 10년의 전환기에 분명히 뒤쳐져 있었지만 2014년 후반 업데이트는 완전히 해커로부터 보호되는 것처럼 들립니다. 안타깝게도 그런 경우는 거의 없으며 최근에는 Mountain View에 기반을 둔 회사에 대해 부정적인 언론이 더 많이 등장했습니다.
사용자 메시지의 내용은 안전한 것처럼 보이지만 해커가 다양한 개인 정보 설정을 탐색하는 데 사용할 수 있는 간단한 소프트웨어가 출시되었습니다. 개인의 프로필 사진, 사용자의 상태를 보는 방법, 개인의 개인 정보 설정을 보는 기능.
WhatsSpy Public이라는 소프트웨어는 네덜란드 개발자가 만들었으며 사용자가 가장 엄격한 개인 정보 보호 제어를 사용하도록 설정한 경우에도 추적된 사용자의 온라인 상태 타임라인을 표시할 수 있습니다. "이제 모든 옵션을 '아무도 없음'으로 설정하여 안전하고 개인 정보를 보호한다고 생각할 수 있지만 그럼에도 불구하고 WhatsApp에서 귀하의 움직임을 추적할 수 있습니다. " 소프트웨어 디자이너 Maikel Zweerink가 말했습니다. 사용자에게 희소식은 소프트웨어를 설정하기 어렵고 루팅된 Android 또는 탈옥된 iPhone에서만 사용자를 추적할 수 있다는 것입니다. 따라서 "바닐라" OS를 사용하는 경우 괜찮을 것입니다.
WhatsApp은 아직 공식적으로 혐의에 응답하지 않았지만 내부자는 영국 언론에 "이것은 해킹이 아닙니다... 본질적으로 그는 자신이 가지고 있는 정보를 기록하고 모니터링하는 프로그램을 구축했습니다. 어쨌든 액세스 ".
그럼에도 불구하고 WhatApp의 열악한 실적을 감안할 때 사용자는 성명서에서 많은 위안을 얻지 못할 것입니다. 진실이 무엇이든 간에 문제는 디지털 시대의 보안이 결코 당연시될 수 없다는 가장 중요한 사실을 가리킵니다. 자신이 보호받고 있다고 생각하더라도 다음 버그나 결함을 찾고 있는 해커나 범죄자가 있다는 것을 확신할 수 있습니다.
어떻게 생각하세요?
WhatsApp을 사용합니까? 열악한 역사로 인해 서비스를 중단한 적이 있습니까? 몇 가지 메시징 대안을 시도했지만 항상 유비쿼터스 앱에 다시 끌리는 자신을 발견했습니까? 일반적으로 개인 정보 보호 문제가 걱정됩니까, 아니면 "숨길 것도 없고 두려워할 것도 없습니다"라는 사고 방식에 동의하십니까?
여러분의 의견을 듣고 싶습니다. 아래 댓글에 여러분의 생각을 알려주세요.