Το Twitter λανσάρει κρυπτογραφημένα DM για επαληθευμένους χρήστες με μειονεκτήματα ασφαλείας
Related Posts
Αφού το μιλούσαμε για μήνες, το Twitter το έκανε επιτέλους
απελευθερώθηκε
η πρώτη του έκδοση κρυπτογραφημένων DM — αλλά υπάρχουν μερικοί περιορισμοί. Προς το παρόν, αυτή η λειτουργία είναι διαθέσιμη μόνο σε επαληθευμένους χρήστες (όπως οι συνδρομητές Blue) ή σε λογαριασμούς που σχετίζονται με επαληθευμένους οργανισμούς. Επιπλέον, η δυνατότητα κρυπτογράφησης δεν είναι συμβατή με ομαδικά μηνύματα και το Twitter δεν προσφέρει προστασία από επιθέσεις άνθρωπος στη μέση.
Το Twitter είπε ότι ενώ η κρυπτογράφηση λειτουργεί σε όλες τις πλατφόρμες, ο παραλήπτης πρέπει να ακολουθήσει τον αποστολέα για να την ενεργοποιήσει. Εναλλακτικά, η κρυπτογράφηση μπορεί να ενεργοποιηθεί εάν ένας χρήστης έχει συνομιλήσει με τον αποστολέα στο παρελθόν ή αποδεχτεί το αίτημά του για DM. Εάν οι χρήστες πληρούν τις προϋποθέσεις για μια κρυπτογραφημένη συνομιλία, ο αποστολέας θα έχει την επιλογή να ενεργοποιήσει την κρυπτογράφηση μέσω ενός διακόπτη στη νέα οθόνη συνομιλίας.
Συντελεστές εικόνας:
Κελάδημα
Για να ενεργοποιήσετε την κρυπτογράφηση για μια υπάρχουσα συνομιλία, μπορείτε να πατήσετε στο εικονίδιο πληροφοριών στη γωνία της οθόνης συνομιλίας και να πατήσετε την επιλογή που λέει “Έναρξη κρυπτογραφημένου μηνύματος”. Οι κρυπτογραφημένες συνομιλίες θα φαίνονται διαφορετικές από τις κανονικές συνομιλίες, καθώς το Twitter τοποθετεί ένα σήμα κλειδώματος στην εικόνα προφίλ του παραλήπτη. Στην ίδια τη συνομιλία, η εταιρεία θα εμφανίσει ένα banner “Τα μηνύματα είναι κρυπτογραφημένα” στο επάνω μέρος.
Συντελεστές εικόνας:
Κελάδημα
Το κοινωνικό δίκτυο το ξεκαθαρίζει
ανάρτησή του στο blog
ότι υπάρχουν αρκετοί περιορισμοί σε αυτήν την υλοποίηση. Σε επίπεδο συνομιλίας, το Twitter υποστηρίζει απλώς κρυπτογράφηση για μηνύματα ένας προς έναν με κείμενο και συνδέσμους. Το Twitter είπε ότι επί του παρόντος δεν υποστηρίζονται πολυμέσα σε κρυπτογραφημένες συνομιλίες.
Επιπλέον, οι χρήστες δεν μπορούν να χρησιμοποιήσουν μια νέα συσκευή για να συμμετάσχουν σε μια υπάρχουσα κρυπτογραφημένη συνομιλία. Επομένως, πρέπει είτε να χρησιμοποιήσετε την ίδια συσκευή με την οποία ξεκινήσατε μια κρυπτογραφημένη συνομιλία είτε να ξεκινήσετε μια νέα συνομιλία όταν αποκτήσετε μια νέα συσκευή. Οι χρήστες μπορούν να χρησιμοποιήσουν μόνο 10 συσκευές συνολικά για να χρησιμοποιήσουν τη δυνατότητα κρυπτογράφησης και δεν υπάρχει τρόπος να καταργήσουν την εγγραφή μιας συσκευής για να δημιουργήσουν χώρο για μια νέα.
Συγκεκριμένα, το Twitter θεωρεί την επανεγκατάσταση της εφαρμογής ως εγγραφή μιας νέας συσκευής. Το Twitter δεν προσφέρει επιλογή δημιουργίας αντιγράφων ασφαλείας κλειδιού, πράγμα που σημαίνει ότι όλα τα κρυπτογραφημένα μηνύματά σας σε αυτήν τη συσκευή θα διαγραφούν εάν αποσυνδεθείτε από τον λογαριασμό.
Αλλά το περίπλοκο μέρος είναι ότι το Twitter δεν διαγράφει ιδιωτικά κλειδιά από τη συσκευή κατά την αποσύνδεση — μόνο μηνύματα. Οι χρήστες θα μπορούν να ανακτούν υπάρχουσες συνομιλίες εάν συνδεθούν ξανά από την ίδια συσκευή. Η εταιρεία προειδοποίησε ότι οι άνθρωποι δεν πρέπει να χρησιμοποιούν τη δυνατότητα κρυπτογράφησης σε κοινόχρηστες συσκευές λόγω αυτού του περιορισμού. Αυτό θα μπορούσε να αλλάξει όταν το Twitter αρχίσει να προσφέρει μια επιλογή δημιουργίας αντιγράφων ασφαλείας κλειδιού.
Υπάρχουν επίσης πολλές αμφιβολίες σχετικά με την προσφορά ασφάλειας του χαρακτηριστικού. Δεν είναι σαφές ποιο κρυπτογραφικό πρότυπο χρησιμοποιεί το Twitter για αυτήν τη δυνατότητα. Η εταιρεία μόλις είπε ότι αναπτύσσει “ένα συνδυασμό ισχυρών κρυπτογραφικών σχημάτων”
στην ανάρτησή του στο blog
μιλάμε για τη δυνατότητα κρυπτογράφησης.
Το Twitter είπε ότι η δυνατότητα κρυπτογράφησης του δεν προσφέρει επίσης προστασία απόρρητου, οπότε ένας εισβολέας μπορεί να έχει πρόσβαση σε όλες τις προηγούμενες συνομιλίες ενός χρήστη εάν αποκτήσει πρόσβαση σε μια παραβιασμένη συσκευή. Η εταιρεία είπε ότι αποφάσισε να μην εφαρμόσει αυτή τη δυνατότητα για να επιτρέψει στους χρήστες να έχουν πρόσβαση στα μη κρυπτογραφημένα DM τους σε οποιαδήποτε συσκευή.
Προς το παρόν, το Twitter δεν προσφέρει λειτουργίες ελέγχου υπογραφής ή επαλήθευσης μηνυμάτων. Έτσι, οι ίδιες οι συσκευές δεν μπορούν να ελέγξουν την αυθεντικότητα του μηνύματος και οι άνθρωποι δεν μπορούν να χρησιμοποιήσουν μεθόδους όπως η σύγκριση συμβολοσειρών αριθμών για την επαλήθευση της προστασίας από κρυπτογράφηση.
Αυτό καθιστά το σύστημα ευάλωτο σε επιθέσεις man-in-the-middle. Αυτό σημαίνει ότι ένας εισβολέας μπορεί να διαβάσει τα μηνύματά σας εάν διακυβευτεί η ασφάλεια. Το Twitter άφησε επίσης να εννοηθεί ότι θα μπορούσε να δώσει αυτή τη συνομιλία στις αρχές ως μέρος μιας νομικής διαδικασίας λόγω των τρεχόντων σχεδιαστικών ελαττωμάτων.
«Ως αποτέλεσμα, εάν κάποιος – για παράδειγμα, ένας κακόβουλος χρήστης ή το ίδιο το Twitter ως αποτέλεσμα μιας υποχρεωτικής νομικής διαδικασίας – επρόκειτο να διακυβεύσει μια κρυπτογραφημένη συνομιλία, ούτε ο αποστολέας ούτε ο παραλήπτης θα το γνώριζαν», ανέφερε η εταιρεία. Το Twitter θέλει να προσθέσει ελέγχους υπογραφών και αριθμούς ασφαλείας, ώστε αυτές οι επιθέσεις ή αιτήματα να μην είναι πλέον δυνατές.
Μετά την ανάληψη της εταιρείας, ο Έλον Μασκ εξέφρασε την επιθυμία του να «υπερθέσει το σήμα» με DM του Twitter. Ωστόσο, με το τρέχον σύνολο περιορισμών, δεν προσφέρει το ίδιο επίπεδο προστασίας που προσφέρουν το Signal ή άλλες εφαρμογές. Τόσο το Signal όσο και το WhatsApp προσφέρουν κρυπτογράφηση από άκρο σε άκρο για όλα τα είδη συνομιλιών. Επιπλέον, το Signal δεν καταγράφει μεταδεδομένα σχετικά με επαφές ή μηνύματα.
«Όπως είπε ο Elon Musk, όσον αφορά τα Direct Messages, το πρότυπο θα πρέπει να είναι, αν κάποιος μας βάλει ένα όπλο στο κεφάλι, δεν μπορούμε να έχουμε πρόσβαση στα μηνύματά σας. Δεν είμαστε ακόμα εκεί, αλλά εργαζόμαστε πάνω σε αυτό», είπε η εταιρεία.
