Twitterova nova značajka šifriranih poruka pod udarom krititka stručnjaka za sigurnost i privatnost

Autor:

Alexander Shatov, Unsplash

Stručnjaci za privatnost i sigurnost naširoko su kritizirali novu značajku koju je Twitter predstavio u srijedu, a koja šifrira neke izravne poruke između korisnika, postavljajući pitanja o budućnosti sigurnosti korisnika na platformi. Čini se da su rani napori Twittera da osigura izravne poruke enkripcijom prožeti upozorenjima, nedostacima i rizicima koji mogu ugroziti korisnike, rekli su stručnjaci nakon što je tvrtka objavila svoje početnu verziju.

S prvom iteracijom značajke, samo korisnici koji plaćaju pretplatu za Twitter Blue ili čije su organizacije platile da budu potvrđene kod tvrtke mogu koristiti šifrirane poruke.

Osim toga, šifrirane poruke mogu se slati samo između dvije osobe, a ne između grupa. Šifriranje slika, videa i drugih medija nije podržano. Oba sudionika moraju ili razmijeniti izravne poruke u prošlosti.

Što je možda najvažnije, Twitter je priznao da čak i uz omogućenu značajku enkripcije, sama tvrtka i treće strane još uvijek potencijalno mogu pristupiti korisničkim porukama.

“Pokušavam biti pozitivan u vezi s uvođenjem šifriranih poruka na Twitteru iako ima toliko stvari u vezi s ovim sustavom zbog kojih izgleda kao probno izdanje”, rekao je Matthew Green, kriptograf i profesor informatike na Sveučilištu Johns Hopkins, u tweetu.
Twitterov bivši glavni službenik za informacijsku sigurnost, Lea Kissner, javno je molila Twitterov trenutni inženjerski tim da brzo poboljša ovu značajku. “Ljudi s Twittera, ozbiljno. Negdje sam ostavila neke razvojne dokumente. Molim vas da ih koristite”, rekala je Kissner na Blueskyju, konkurentskoj platformi.

Twitter je opisao šifrirane poruke kao ključne za budućnost tvrtke da postane “platforma kojoj se najviše vjeruje na internetu”. No, uvođenje pruža još jedan primjer kako je, pod Elonom Muskom, Twitter napredovao sa značajnim promjenama na platformi unatoč upozorenjima neovisnih istraživača o mogućim neželjenim posljedicama koje proizlaze iz nepotpunih ili loše implementiranih ažuriranja.

U objavi na blogu u srijedu, Twitter je rekao da će korisnici njegove najnovije aplikacije moći sudjelovati u šifriranim izravnim porukama. I najavio je da je njegov cilj pružiti sličnu razinu zaštite kao i druge aplikacije za očuvanje privatnosti koje stručnjaci za sigurnost visoko preporučuju, poput Signala.

“Standard bi trebao biti da ako nam netko uperi pištolj u glavu, i dalje ne možemo pristupiti vašim porukama”, stoji u postu na blogu. “Još nismo skroz stigli, ali radimo na tome.”

No tvrtka je također priznala ograničenja značajke, uključujući činjenicu da nova opcija šifriranja “ne nudi zaštitu od napada posrednika”. “Kao rezultat toga, ako bi netko, na primjer, zlonamjerni insajder ili sam Twitter kao rezultat obveznog pravnog postupka, kompromitirao šifrirani razgovor, ni pošiljatelj ni primatelj ne bi znali”, stoji u postu na Twitterovom blogu.

Nedostatak takozvane end-to-end enkripcije čini implementaciju Twittera uvelike besmislenom, rekli su sigurnosni stručnjaci.

“Cijela svrha end-to-end enkripcije je da vas zaštiti od bilo koga tko kontrolira poslužitelje za razmjenu poruka”, rekao je Marcus Hutchins, također poznat kao MalwareTech, na Blueskyju.

Twitterova nova značajka također šifrira poruke na razini razgovora, a ne svaku pojedinačnu poruku. To znači da ako zlonamjerni akter dobije neovlašteni pristup ključevima, može vidjeti cijeli lanac poruka. Snažniji pristup bio bi dodijeliti svakoj poruci vlastiti ključ za šifriranje, značajku koja već postoji u drugim aplikacijama, piše CNN.

Jonathan Mayer, informatičar na Sveučilištu Princeton i bivši glavni tehnolog Savezne komisije za komunikacije, rekao je da Twitterova verzija enkripcije neće ispuniti osnovna načela koja se podučavaju na tečaju Informacijska sigurnost 101. “Mi doslovno učimo studente da ne rade točno ono što Twitter radi”, rekao je Mayer. Jedna od najvećih opasnosti ove značajke za korisnike jest ta da bi mogli imati lažan osjećaj sigurnosti, dodao je Hutchins.

Kao očigledan odgovor na val kritika, Musk je rano u četvrtak tvitao: “Probajte, ali nemojte još vjerovati.”

 

 

Komentari

Morate biti ulogirani da biste dodali komentar.