Dodavanje članova u grupe na WhatsAppu bez znanja korisnika?
Istraživači su otkrili da WhatsAppovi serveri mogu dodati članove u grupe bez kriptografske potvrde, za razliku od Signala. To otvara vrata potencijalnom nadzoru osjetljivih razgovora
Nedavni slučaj greškom dodanog novinara u grupu dužnosnika Bijele kuće postavlja pitanje može li netko tko kontrolira platformu učiniti isto. Analiza Ars Technice pokazuje da kod WhatsAppa, unatoč end-to-end enkripciji, server može dodati članove u grupe bez kriptografske potvrde.
Istraživači su formalnom analizom grupnih poruka na WhatsAppu otkrili da, iako aplikacija generalno radi sigurno, WhatsApp ne pruža kriptografsku metodu za upravljanje grupama, za razliku od Signala. To znači da WhatsApp server može dodati nove članove bez znanja korisnika.
Iako je rizik za obične grupe malen, mogućnost da državni operativac ili haker iskoristi ovu slabost za upad u osjetljive grupe (npr. vladinih dužnosnika) je sasvim realna. Administrator WhatsAppa ili napadač s pristupom serveru mogao bi dodati korisnike, a u velikim grupama obavijest o novom članu lako prođe nezapaženo.
Signal, za razliku od WhatsAppa, pruža kriptografsku garanciju da samo administrator grupe može dodavati nove članove. Konkretnije, u Signalu administratog generira takozvani GroupMasterKey, nepoznat serveru, koji se koristi za autentifikaciju promjena u popisu članova.
Kada adaministrator dodaje korisnike, ažurirani popis autentificiran ključem, šalje se ostalim članovima koji zatim ažuriraju svoje popise i kriptografske postavke. Međutim, kod Signala se pak stvara problem nepotvrđivanja identiteta korisnika pa svatko može stvoriti račun pod lažnim imenom.
