Amazonin toimitusjohtajan Jeff Bezosin iPhoneen hyökättiin Facebookin omistaman WhatsAppin takaoven avulla. Näin väittää kilpailevan viestisovelluksen Telegramin perustaja Pavel Durov blogikirjoituksessaan, joka on otsikoitu ”Miksi WhatsAppin käyttö on vaarallista”.
Kyse on äskettäin paljastuneesta hyökkäyksestä, josta epäillään Saudi-Arabiaa. Durovin väite on merkittävä, koska hän puhuu nimenomaan takaovesta, ei haavoittuvuudesta. Takaovi on tietoturvaheikkous, jonka kehittäjä on jättänyt sovellukseen tarkoituksella.
Durovin mukaan WhatsAppista on löytynyt paljon muitakin takaovia.
– Takaovet yleensä naamioidaan ”tahattomiksi” tietoturvavirheiksi. Yksin viime vuonna 12 tällaista virhettä löydettiin WhatsAppista. Seitsemän niistä oli kriittisiä – kuten Jeff Bezosiin iskenyt, Durov lataa.
Facebook on sysännyt vastuuta hyökkäyksestä Applen niskoille vakuuttaen WhatsAppin päästä päähän -salauksen olevan läpäisemätön. Tämä tarkoittaa sitä, että lähetettyjä viestejä ei voi salakuunnella matkan varrella verkossa.
Durov katsoo, että viestiliikenteen salaaminen päästä päähän ei ole pomminvarma suojaus muun muassa juuri väittämiensä takaovien vuoksi. Lisäksi monet käyttäjät varmuuskopioivat viestinsä pilvipalveluun, jossa tiedot eivät ole enää salattuja.
Näin on asian laita muun muassa Android-käyttäjien tehdessä varmuuskopion Google Driveen. Vaikka viranomaiset eivät pääsisi tutkinnassaan käsiksi puhelimiin, pilvipalvelujen sisältöön nämä yleensä pääsevät oikeuden määräyksellä.
Durov huomauttaa myös, että WhatsAppin käyttämän salauksen vahvuutta on mahdotonta tarkistaa, koska sen koodi on suljettu ulkopuolisilta toisin kuin avoimeen koodiin perustuvan Telegramin.
– Älä anna itsesi joutua hämätyksi sirkustaikureiden teknologiavastineista, jotka haluavat keskittää huomiosi yhteen erilliseen asiaan tehdessään temppunsa toisaalla. He haluavat sinun pitävän päästä päähän -salausta ainoana asiana, jota tarvitaan tietosuojaa varten. Todellisuus on paljon monimutkaisempi.
Pavel Durov nousi maineeseen perustettuaan VKontakten eli ”Venäjän Facebookin”. Hän riitautui kuitenkin myöhemmin Venäjän viranomaisten kanssa, kun ei halunnut antaa näille pääsyä käyttäjiensä tietoihin. Tämän jälkeen hän menetti VKontakten hallinnan.
Durov on riidellyt Venäjän viranomaisten kanssa myös Telegram-käyttäjien tiedoista. Koska hän ei ole suostunut yhteistyöhön, Venäjä on pyrkinyt lopettamaan palvelun toiminnan maassa teknisillä estoilla.
