WhatsApp въвежда нова функция за проверка на устройствата

Популярното приложение за незабавни съобщения WhatsApp обяви в четвъртък нова функция за проверка на акаунта, която гарантира, че зловредният софтуер, работещ на мобилното устройство на потребителя, не влияе на неговия акаунт.

„Зловредният софтуер за мобилни устройства е една от най-големите заплахи за неприкосновеността на личния живот и сигурността на хората днес, тъй като може да се възползва от телефона ви без ваше разрешение и да използва вашия WhatsApp за изпращане на нежелани съобщения“, се казва в съобщението на компанията, собственост на Meta.

Наречена Device Verification (Проверка на устройството), мярката за сигурност има за цел да помогне за предотвратяване на атаки за превземане на акаунти (ATO), като блокира връзката на заплахата и позволява на целите на заразяването със зловреден софтуер да използват приложението без прекъсване.

С други думи, целта е да се възпрепятства използването на злонамерен софтуер от нападателите за кражба на ключове за удостоверяване в WhatsApp и превземане на акаунтите на жертвите, като впоследствие те се представят за тях, за да разпространяват спам и фишинг връзки към други контакти.

Това, от своя страна, се постига чрез въвеждане на ключ за сигурност, който се съхранява локално на устройството, криптографски нонч, за да се идентифицира дали клиентът на WhatsApp се свързва със сървъра, за да изтегли входящите съобщения, и предизвикателство за удостоверяване, което действа като „невидим пинг“ от сървъра към устройството на потребителя.

От клиента се изисква да изпраща маркера за сигурност всеки път, когато се свързва със сървъра, за да се открият потенциално подозрителни връзки. Токенът за сигурност, от своя страна, се актуализира всеки път, когато се извлича офлайн съобщение от сървъра.

Предканата за удостоверяване се счита за неуспешна, когато клиентът отговори  от друго устройство, което показва анормална връзка, произхождаща от нападател. Това води до блокиране на връзката.

Ако няма отговор от клиента, процесът се повтаря „още няколко пъти“, след което връзката ще бъде блокирана, ако клиентът все още не отговаря.

„Тези три параметъра помагат да се предотврати кражбата на ключа за удостоверяване от зловреден софтуер и свързването със сървъра на WhatsApp извън устройството на потребителите“, обясняват Атаула Баиг и Арчис Апте от Meta.

WhatsApp заяви, че проверката на устройствата е разпространена сред всички потребители на Android и че е в процес на разпространение сред потребителите на iOS.

Функцията е част от по-широк набор от нови подобрения, които са предназначени за удостоверяване и проверка на самоличността на потребителите, включително показване на предупреждения при опит за прехвърляне на акаунт в WhatsApp от едно устройство на друго.

Също така WhatsApp стартира функцията „Прозрачност на ключовете“, която автоматично потвърждава дали чатовете са криптирани от край до край, без да изисква допълнителни действия от страна на потребителя.

За тази цел се внедрява нова директория за одитируеми ключове (Auditable Key Directory – AKD), която се основава на съществуващи протоколи като CONIKS и SEEMless, за да помогне на потребителите да проверят сигурността на своите разговори.

„AKD ще позволи на клиентите на WhatsApp автоматично да потвърждават, че ключът за криптиране на даден потребител е истински, и ще даде възможност на всеки да проверява одиторски доказателства за коректността на директорията“, заяви компанията.

Понастоящем проверката изисква от потребителите в чата ръчно да сравняват кода за сигурност (който съществува като QR код и 60-цифрено число), като го изпращат на участника от другата страна чрез SMS или имейл, или като алтернатива чрез сканиране на QR кода, ако страните са физически една до друга.

Кодът за сигурност не е нищо друго освен уникален хеш на двойката публичен/частен ключ, която се генерира, за да улесни криптираните съобщения от край до край. Допълнително усложняване на ситуацията е, че той може да се промени, когато потребителите сменят устройствата си или преинсталират WhatsApp.

Прозрачността на ключовете рационализира процеса на проверка, като използва автоматизиран поток, който премахва необходимостта от дългия код, като вместо това поддържа запис на промените в публичния ключ в директория и позволява на клиента да го провери.

„Прозрачността на ключа описва протокол, при който сървърът [на WhatsApp] поддържа запис само за приложения на съпоставката между профила на потребителя и неговия публичен ключ за идентификация“, обясни Meta. „Това позволява генерирането на доказателства за включване, за да се твърди, че дадено съпоставяне съществува в директорията към момента на последното обновяване.“

WhatsApp възнамерява да пусне тази функция в действие през следващите месеци, въпреки че вече хоства и управлява директория с одитируеми ключове на всички свои потребители. „Това е важен механизъм, който дава възможност на потребителите, които се грижат за сигурността, бързо да проверяват криптиран от край до край личен разговор“, добави компанията.

Източник: The Hacker News

Подобни публикации

4 декември 2023

Рансъмуерът е безмилостен: какво можете да напр...

Не само, че броят на рансъмуерите се увеличава, но този вид зловред...
3 декември 2023

Свалянето на Qakbot: Смекчаване на последиците ...

Министерството на правосъдието на САЩ и ФБР наскоро си сътрудничиха...
2 декември 2023

Владимир Дунаев е осъден за създаването на злов...

Министерството на правосъдието на САЩ обяви, че руски гражданин е п...
2 декември 2023

Клиентите на онлайн туристическата агенция Book...

Една от най-големите онлайн туристически агенции в света – Booking....
2 декември 2023

Националната ядрена лаборатория на Айдахо е бил...

Националната лаборатория на Айдахо (INL), една от 17-те национални ...
1 декември 2023

Енергийни смущения, свързани с киберсигурността

Експерти по сигурността предупреждават, че операторите на петролни ...
30 ноември 2023

Microsoft започва тестване на новата функция за...

Microsoft започна да тества нова функция на Windows 11 Energy Saver...
30 ноември 2023

Dollar Tree е жертва на нарушаване на сигурност...

Веригата дисконтови магазини Dollar Tree беше засегната от нарушава...
30 ноември 2023

Катарската кибер агенция провежда национални уч...

Националната агенция за киберсигурност (NCSA) на Катар проверява си...
Бъдете социални
Още по темата
23/11/2023

Нови недостатъци в сензорит...

Ново проучване разкрива множество уязвимости, които...
02/11/2023

WatchGuard се присъедини къ...

Клиентите ни се възползват от рационализирани...
18/10/2023

Дискорд: Терен и за национ...

В най-новата еволюция на  заплахите, които...
Последно добавени
04/12/2023

Рансъмуерът е безмилостен: ...

Не само, че броят на рансъмуерите...
03/12/2023

Свалянето на Qakbot: Смекча...

Министерството на правосъдието на САЩ и...
02/12/2023

Владимир Дунаев е осъден за...

Министерството на правосъдието на САЩ обяви,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!