Wystartowała Akademia NIS2/KSC2! Można jeszcze dołączyć do końca lipca!
Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Bezpłatne szkolenie: AI dla admina. Top 5 zadań, które zrobisz szybciej
Wystartowała Akademia NIS2/KSC2! Można jeszcze dołączyć do końca lipca!
Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Bezpłatne szkolenie: AI dla admina. Top 5 zadań, które zrobisz szybciej
Komunikator WhatsApp jest jednym z najczęściej wybieranych narzędzi do wymiany informacji na całym świecie. Szacuje się, że używa go ponad 3 miliardy osób. I mimo, że jest to oprogramowanie o zamkniętym kodzie źródłowym, a co za tym idzie, trudno potwierdzić czy prywatność użytkowników jest w pełni zapewniona, to nie traci na popularności. A z uwagi na szereg wprowadzonych modyfikacji i ulepszeń, przyciąga osoby szukające balansu między wygodą a bezpieczeństwem. Zgodnie z opinią deweloperów, WhatsApp bazuje na protokole zastosowanym w komunikatorze Signal i używa mechanizmu End-To-End-Encryption (E2EE).
TLDR:
Nie tak dawno na oficjalnym blogu WhatsAppa pojawiła się informacja o wdrażaniu nowej funkcjonalności, która może utrudnić życie cyberprzestępcom. Mowa tu o identyfikacji użytkownika za pomocą unikalnej nazwy (username), a nie jak dotychczas za pomocą numeru telefonu. Zapewne sposób komunikacji po numerze telefonu zostanie utrzymany, jednak dzięki wprowadzonym zmianom, to użytkownik będzie mógł podjąć decyzję komu udostępnić numer telefonu, a komu jedynie swój identyfikator.

Śledząc wzmianki na temat nowej funkcjonalności zastanawiające jest w jaki sposób będzie się odbywać synchronizacja posiadanych kontaktów z komunikatorem WhatsApp. Dotychczas, po udzieleniu aplikacji dostępu do książki telefonicznej, mogliśmy sprawdzić, który z naszych kontaktów umożliwia taką formę komunikacji. Często prowadziło to do nadużyć, zwłaszcza w kontekście cyberataków, podczas których atakujący masowo wyciągali numery telefonu z bieżących wycieków lub portali z ogłoszeniami (np. olx), a następnie przesyłali nam phishingowe wiadomości.
Z racji E2EE treści rozmów pozostają nieczytelne dla automatycznych skanerów monitorujących ruch sieciowy, ponieważ proces deszyfrowania odbywa się dopiero na urządzeniu końcowym. Choć WhatsApp filtruje masowy spam na podstawie metadanych (np. wykrywając podejrzaną aktywność konta), to w przypadku spersonalizowanych ataków, pojedyncze wiadomości z dużym prawdopodobieństwem trafiały do użytkownika. W takich sytuacjach kluczowa okazywała się edukacja i świadomość zagrożeń, dzięki której atak mógł zostać w porę odparty.
Wychodząc naprzeciw oczekiwaniom i reagując na problem masowych ataków na użytkowników komunikatora WhatsApp, deweloperzy zdecydowali się na wprowadzenie komunikacji opartej na nazwach użytkowników. Po włączeniu tej opcji nowi rozmówcy nie będą mogli zidentyfikować danego profilu na podstawie samego numeru telefonu. Wysłanie wiadomości będzie możliwe po wprowadzeniu unikalnego identyfikatora username.
Co ciekawe, twórcy komunikatora zaimplementowali dodatkowy mechanizm ochronny username key. Jest to opcjonalny, kilkucyfrowy kod, który trzeba wprowadzić przed nawiązaniem pierwszego kontaktu. Rozwiązanie to skutecznie chroni użytkownika przed niechcianymi wiadomościami czy próbami phishingu, nawet jeżeli atakujący weszli w posiadanie nazwy użytkownika.
Nowa funkcjonalność zostanie wdrożona w najbliższym czasie. Osoby zainteresowane mogą zarezerwować swoją unikalną nazwę już teraz, wchodząc w ustawienia aplikacji:
Ustawienia → Konto → Nazwa użytkownika (Settings → Account → Username).
Wprowadzony mechanizm zapewni dodatkową warstwę ochronną przed atakami socjotechnicznymi. Jeżeli na co dzień korzystamy z komunikatora, warto rozważyć włączenie tej opcji, gdy tylko stanie się dostępna.
Źródło: blog.whatsapp.com/, wabetainfo.com
_secmike
Czy jest sens powiązywać FB/WhatsApp/Instagram? Pytam pod kątem i prywatności i bezpieczeństwa.