Популярното приложение за незабавни съобщения WhatsApp обяви в четвъртък нова функция за проверка на акаунта, която гарантира, че зловредният софтуер, работещ на мобилното устройство на потребителя, не влияе на неговия акаунт.

„Зловредният софтуер за мобилни устройства е една от най-големите заплахи за неприкосновеността на личния живот и сигурността на хората днес, тъй като може да се възползва от телефона ви без ваше разрешение и да използва вашия WhatsApp за изпращане на нежелани съобщения“, се казва в съобщението на компанията, собственост на Meta.

Наречена Device Verification (Проверка на устройството), мярката за сигурност има за цел да помогне за предотвратяване на атаки за превземане на акаунти (ATO), като блокира връзката на заплахата и позволява на целите на заразяването със зловреден софтуер да използват приложението без прекъсване.

С други думи, целта е да се възпрепятства използването на злонамерен софтуер от нападателите за кражба на ключове за удостоверяване в WhatsApp и превземане на акаунтите на жертвите, като впоследствие те се представят за тях, за да разпространяват спам и фишинг връзки към други контакти.

Това, от своя страна, се постига чрез въвеждане на ключ за сигурност, който се съхранява локално на устройството, криптографски нонч, за да се идентифицира дали клиентът на WhatsApp се свързва със сървъра, за да изтегли входящите съобщения, и предизвикателство за удостоверяване, което действа като „невидим пинг“ от сървъра към устройството на потребителя.

От клиента се изисква да изпраща маркера за сигурност всеки път, когато се свързва със сървъра, за да се открият потенциално подозрителни връзки. Токенът за сигурност, от своя страна, се актуализира всеки път, когато се извлича офлайн съобщение от сървъра.

Предканата за удостоверяване се счита за неуспешна, когато клиентът отговори  от друго устройство, което показва анормална връзка, произхождаща от нападател. Това води до блокиране на връзката.

Ако няма отговор от клиента, процесът се повтаря „още няколко пъти“, след което връзката ще бъде блокирана, ако клиентът все още не отговаря.

„Тези три параметъра помагат да се предотврати кражбата на ключа за удостоверяване от зловреден софтуер и свързването със сървъра на WhatsApp извън устройството на потребителите“, обясняват Атаула Баиг и Арчис Апте от Meta.

WhatsApp заяви, че проверката на устройствата е разпространена сред всички потребители на Android и че е в процес на разпространение сред потребителите на iOS.

Функцията е част от по-широк набор от нови подобрения, които са предназначени за удостоверяване и проверка на самоличността на потребителите, включително показване на предупреждения при опит за прехвърляне на акаунт в WhatsApp от едно устройство на друго.

Също така WhatsApp стартира функцията „Прозрачност на ключовете“, която автоматично потвърждава дали чатовете са криптирани от край до край, без да изисква допълнителни действия от страна на потребителя.

За тази цел се внедрява нова директория за одитируеми ключове (Auditable Key Directory – AKD), която се основава на съществуващи протоколи като CONIKS и SEEMless, за да помогне на потребителите да проверят сигурността на своите разговори.

„AKD ще позволи на клиентите на WhatsApp автоматично да потвърждават, че ключът за криптиране на даден потребител е истински, и ще даде възможност на всеки да проверява одиторски доказателства за коректността на директорията“, заяви компанията.

Понастоящем проверката изисква от потребителите в чата ръчно да сравняват кода за сигурност (който съществува като QR код и 60-цифрено число), като го изпращат на участника от другата страна чрез SMS или имейл, или като алтернатива чрез сканиране на QR кода, ако страните са физически една до друга.

Кодът за сигурност не е нищо друго освен уникален хеш на двойката публичен/частен ключ, която се генерира, за да улесни криптираните съобщения от край до край. Допълнително усложняване на ситуацията е, че той може да се промени, когато потребителите сменят устройствата си или преинсталират WhatsApp.

Прозрачността на ключовете рационализира процеса на проверка, като използва автоматизиран поток, който премахва необходимостта от дългия код, като вместо това поддържа запис на промените в публичния ключ в директория и позволява на клиента да го провери.

„Прозрачността на ключа описва протокол, при който сървърът [на WhatsApp] поддържа запис само за приложения на съпоставката между профила на потребителя и неговия публичен ключ за идентификация“, обясни Meta. „Това позволява генерирането на доказателства за включване, за да се твърди, че дадено съпоставяне съществува в директорията към момента на последното обновяване.“

WhatsApp възнамерява да пусне тази функция в действие през следващите месеци, въпреки че вече хоства и управлява директория с одитируеми ключове на всички свои потребители. „Това е важен механизъм, който дава възможност на потребителите, които се грижат за сигурността, бързо да проверяват криптиран от край до край личен разговор“, добави компанията.