ווטסאפ בצעד נוסף לפרטיות מוחלטת: תאפשר הצפנה של גיבויי הצ'טים בענן
ווטסאפ בצעד נוסף לפרטיות מוחלטת: תאפשר הצפנה של גיבויי הצ'טים בענן
החברה מאפשרת לגבות את הצ'טים מהאפליקציה לשירותי הענן של אפל אייקלאוד ושל גוגל דרייב, אבל הנתונים עצמם לא מוצפנים, ומי שמקבל גישה לגיבויים הללו יכול לראות את כל ההתכתבויות והמדיה שהועברו בין הצדדים
ווטסאפ תאפשר הצפנת גיבויי הצ'טים שהאפליקציה מעבירה לענן, כך הודיעה החברה שלשום (ו'). כבר שנים שפייסבוק לא מצליחה להכריז על ווטסאפ כפלטפורמת צ'ט מאובטחת ב-100% וזאת בגלל פיצ'ר (או באג) אחד.
החברה מאפשרת לגבות את הצ'טים מהאפליקציה לשירותי הענן של אפל וגוגל - אייקלאוד וגוגל דרייב בהתאמה - אבל כל זאת כאשר הנתונים עצמם לא מוצפנים. כך שאף שהשיחות באפליקציה עצמה מוצפנות מקצה לקצה, מי שמקבל גישה לגיבויים הללו יכול לראות את כל ההתכתבויות והמדיה שהועברו בין הצדדים.
לא מעט סוכנויות אכיפת חוק או ממשלות ניצלו את העובדה הזו כדי לקבל גישה לצ'טים של משתמשים, כך לפי אתר Techcrunch. כעת החברה מצאה פתרון שמאפשר לה להצפין גם את הגיבויים - אבל זו פעולה שהמשתמשים יצטרכו לבצע בעצמם. אלה יוכלו לקבל מפתחות הצפנה בני 64 ביט ולבצע את ההצפנה של הגיבוי בעצמם. בווטסאפ הסבירו שאם המשתמש יאבד את המפתח, הוא לא יוכל לשחזר את הגיבוי ולא משנה מה, וגם פייסבוק לא תוכל לסייע במקרה הזה.
בשבועות הקרובים המשתמשים יתחילו לראות אפשרות חדשה ליצירת מפתח הצפנה - ניתן לשמור את המפתח באופן מקומי על נייר או באפליקציית ניהול סיסמאות שווטסאפ פיתחה backup key vault. האחרונה תאפשר לשמור את המפתח ולהשתמש בסיסמה רגילה כדי לשחזר אותו במקום לזכור סדרה ארוכה של אותיות ומספרים. לא ניתן יהיה לגשת לגיבוי ללא הסיסמה ולווטסאפ אין גישה אליה. עם זאת ניתן לשחזר אותה על המכשיר המקורי ממנו בוצעה ההצפנה.
עוד מגבלה שצריך להיות מודעים לה היא שמהרגע שהגיבוי מוצפן, שאר הגיבויים של המשתמש נמחקים אוטומטית ונדרסים על ידי הגיבוי החדש. לא ניתן לשחזר גיבויים ישנים יותר - לתשומת לבכם. אבל גם הצפנה בת 64 ביט לא נחשבת למאוד מאובטחת כיום. ה-NSA למשל ממליץ על הצפנה של לפחות 128 ביט ואף יותר עבור נתונים עסקיים. אמנם לא קל לפרוץ הצפנה כזו, אך הדבר בהחלט אפשרי בכלים הזמינים כיום למומחי אבטחה. ההצפנה הגדולה ביותר שנפרצה עד כה היתה RSA-250 בת 829 ביט.
עם זאת גם הפריצה הזו דרשה שימוש במחשבים חזקים ובכוח עיבוד שווה ערך להפעלת 2,700 מעבדי Xeon במשך שנה כל אחד, לא מדובר במשהו שזמין לכל האקר. אבל זה משהו שזמין לסוכנויות ביון או ממשלות. ווטסאפ מנסה להלך כאן בין הטיפות. מצד אחד ממשלות רוצות גישה לתקשורת בין חשודים בפלילים או בטרור.
מצד שני האפשרות שהמידע ישמש בצורה לא חוקית גם קיים וכבר הודגם בעבר (גם בישראל) ששוטרים או פקידים עשויים להתפתות לגשת לנתונים פרטיים ללא סמכות או רשות. וזה עוד לפני שאנחנו מדברים על גורמים פליליים או האקרים ממשלתיים. ווסטאפ עצמה הואשמה בכך שעובדיה קיבלו גישה לגיבויים לא מוצפנים במקרים בהם משתמשים התלוננו על הודעות זדוניות.
אבל בניגוד לאפל, שנמנעת מהצפנה במדינות כגון סין, בלארוס, מצרים, סעודיה או הפיליפינים, ווטסאפ תשיק את ההצפנה בכל מקום בו היא פועלת. גם גוגל מאפשרת הצפנה של נתוני דרייב, אבל היא לא יוצאת מגדרה כדי להסביר למשתמשים מן המניין כיצד לבצע זאת. וכאן כנראה טמונה הפשרה בין חברות הטכנולוגיה לממשלות - הן משיקות פיצ'ר פרטיות כדי להיראות טוב, אבל דואגות לאפשר מעקף כלשהו למקרה שהן יידרשו לספק את המידע תחת צו.