ISAC Cambodia (InfoSec)
GeneralSecurity News

WhatsApp backdoor allows snooping on encrypted messages

Backdoor ដែលត្រូវបានប្រើប្រាស់ដើម្បីអនុញ្ញាតឲ្យ ​Facebook និងកម្មវិធីផ្សេងទៀតក្នុងការស្ទាក់ចាប់និងអានសារកូដនីយកម្មខ្លីៗ (encrypted messages) ត្រូវបានរកឃើញនៅក្នុងកម្មវិធី ​WhatsApp ។

ក្រុមហ៊ុនហ្វេសប៊ុកអៈអាងថា មិនមាននរណាអាចធ្វើការស្ទាក់ចាប់សាររបស់ ​WhatsApp (ទោះបីជាបុគ្គលិករបស់ខ្លួនក៏ដោយ) ដើម្បីប្រាកដថាឯកជនភាពរបស់អ្នកប្រើប្រាស់ច្រើនជាង 1Billion នាក់ត្រូវបានការពារ។ ក៏ប៉ុន្តែតាមការស្រាវជ្រាវថ្មីៗនេះបានបង្ហាញថា ក្រុមហ៊ុនអាចអាននូវសារនោះបាន ។

ក្រុមអ្នកធ្វើយុទ្ធនាការដើម្បីឯកជនភាពបាននិយាយថា ចំនុចខ្សោយទាំងនោះគឺជាការគំរាមគំហែងដ៏ធំចំពោះសេរីភាពក្នុងការបញ្ចេញមតិ ហើយបានធ្វើការព្រមានថា វាអាចត្រូវបានប្រើប្រាស់ដោយរដ្ឋាភិបាល ក្នុងការលួចចាប់យកព័ត៌មានពីអ្នកប្រើប្រាស់។ WhatsApp បានផ្តោតការយកចិត្តទុកដាក់ជាខ្លាំងទៅលើ ឯកជនភាព (privacy) និងសន្តិសុខ (security) ហើយបានក្លាយទៅជាកម្មវិធីមួយសម្រាប់ធ្វើការទំនាក់ទំនងរវាងសកម្មជន និងអ្នកការទូត។

បច្ចេកទេសរបស់ WhatsApp ដើម្បីធ្វើកូដនីយកម្ម (encryption) ពីចុងម្ខាងនៃអ្នកប្រើប្រាស់ទៅកាន់ចុងម្ខាងទៀតនៃអ្នកប្រើប្រាស់ (end-to-end encryption) ពឹងផ្អែកទៅលើការបង្កើតចេញជា security keys តែមួយគត់ ​(unique) ដោយប្រើប្រាស់នូវ Signal protocol ដែលត្រូវបានអភិវឌ្ឍន៍ដោយ Open Whisper Systems ។ Security keys នេះត្រូវបានប្រើប្រាស់ដើម្បីធ្វើការផ្ទៀងផ្ទាត់រវាងអ្នកប្រើប្រាស់ទាំងសងខាងក្នុងគោលបំណងធានាបាននូវសន្តិសុខនៃទំនាក់ទំនង ដែលមិនអាចត្រូវបានគេស្ទាក់ចាប់ដោយអ្នកទីបី​ (នៅកណ្តាល) ឡើយ។

ក៏ប៉ុន្តែ WhatsApp មាននូវលទ្ធភាពក្នុងការបង្ខំឲ្យបង្កើតនូវ encryption keys ថ្មីមួយសម្រាប់ offline users, ដែលទាំងអ្នកផ្ញើរនិងអ្នកទទួលសារមិនដឹងឡើយ។ បន្ទាប់មកវាបានធ្វើឲ្យអ្នកផ្ញើរ ចាប់ផ្តើមធ្វើការ re-encrypted សារនោះម្តងទៀតជាមួយ keys ថ្មីនេះ ហើយបញ្ជូនវាសារជាថ្មីនូវរាល់សារទាំងឡាយណាដែលមិនបានបញ្ជូនដោយជោគជ័យទៅដល់អ្នកទទួល (not marked as delivered) ។

ការធ្វើ re-encryption និង rebroadcasting នេះបានធ្វើឲ្យ ​WhatsApp មានលទ្ធភាពក្នុងការស្ទាក់ចាប់សាររបស់អ្នកប្រើប្រាស់បាន។

Security backdoor នេះត្រូវបានរកឃើញដោយ Tobias Boelter ដែលជាអ្នក cryptography និង security researcher នៅឯ University of California, Berkeley ។ គាត់បានបន្ថែមថា “បើសិនជា WhatsApp ត្រូវរដ្ឋាភិបាលបញ្ជាឲ្យបញ្ចេញទិន្នន័យ នោះ WhatsApp នឹងមានលទ្ធភាពធ្វើបាន ដោយការផ្លាស់ប្តូរ keys” ។

កម្មវិធីដែលត្រូវបានបង្កើតឡើងដោយ Open Whisper System មានឈ្មោះថា Signal ហើយដែលត្រូវបានណែនាំដោយ Edward Snowden នោះគឺមិនមានបញ្ហានេះទេ។ បើសិនជាមានការផ្លាស់ប្តូរ key នោះការបញ្ជូន message នោះនឹងបរាជ័យ។

លោក Boelter បានធ្វើការរាយការណ៍បញ្ហានេះទៅកាន់ Facebook ក្នុងខែមេសា ២០១៦ ហើយត្រូវបាន Facebook ឆ្លើយតបមកវិញថាខ្លួនដឹងអំពីបញ្ហានេះ ។ មកដល់សព្វថ្ងៃនេះ បញ្ហាមួយនេះនៅតែមាន (មិនទាន់មានការជួសជុលនៅឡើយទេ) ។

សាស្ត្រាចារ្យ Kirstie Ball ដែលជាសហនាយកនិងស្ថាបនិកនៃ Centre for Research into Information, Surveillance and Privacy បានហៅបញ្ហាដែលមាននៅក្នុង WhatsApp គឺជាឃ្លាំងមាសសម្រាប់ភ្នាក់ងារសន្តិសុខ និងជាការក្បត់ដ៏ធំសំបើមដល់ទំនុកចិត្តអ្នកប្រើប្រាស់។

អ្នកនាំពាក្យរបស់ ​WhatsApp បានប្រាប់ទៅដល់ ​Guardian ថា “មានអ្នកប្រើប្រាស់ ​WhatsApp ច្រើនជាង 1 Billion ពីព្រោះដោយសារតែវាសាមញ្ញ លឿន ទុកចិត្ត និងមានសន្តិសុខ។ យើងតែងតែជឿជាក់ថា ការសន្ទនារបស់អ្នកប្រើប្រាស់គួរតែត្រូវបានលាក់ជាការសំងាត់ និងសន្តិសុខ។ កាលពីឆ្នាំទៅ យើងបានផ្តល់ឲ្យអ្នកប្រើប្រាស់នូវកម្រិតសន្តិសុខដ៏ល្អប្រសើរមួយដោយការធ្វើកូដនីយកម្មទៅលើ message, photo, video, file និង call ។ ”

WhatsApp ធ្វើការអនុវត្តនូវ Signal protocol (Show Security Notifications) ដែលនឹងធ្វើការជូនដំណឹងនៅពេលដែលកូដសន្តិសុខរបស់បុគ្គលនៅក្នុង contact ត្រូវបានផ្លាស់ប្តូរ។ យើងដឹងថា ហេតុផលដ៏សមស្របបំផុតនោះគឺ វាកើតឡើងនៅពេលដែលនណាម្នាក់ធ្វើការផ្លាស់ប្តូរទូសព័្ទ និងបញ្ចូលកម្មវិធី WhatsApp សារជាថ្មី ហើយយើងចង់ឲ្យប្រាកដថា រាល់សារទាំងអស់ត្រូវបានបញ្ជូនដោយជោគជ័យ មិនមានការបាត់បង់ពេលធ្វើដំណើរឡើយ (lost in transit) ។

នៅពេលដែលត្រូវបានសាកសួរអំពីករណីដែលអាក់សេសទៅកាន់សាររបស់អ្នកប្រើប្រាស់នៅពេលដែល មានតម្រូវការពីរដ្ឋាភិបាល អ្នកនាំពាក្យរបស់ WhatsApp បានឲ្យចូលទៅកាន់វេបសាយរបស់ខ្លួន ត្រង់ទីកន្លែងទិន្នន័យសរុបរួមដែលត្រូវបានស្នើដោយរដ្ឋាភិបាល ៕

ប្រភព៖ The Guardian

Show More

Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.

Related Articles

Back to top button