TeleGuardova enkripcija besmislena: korisnici izloženi
TeleGuardova enkripcija besmislena: korisnici izloženi📷 © Tech&Space
- ★Privatni ključevi šalju se na server
- ★Enkripcija koju svatko može probiti
- ★Preko milijun korisnika u opasnosti
TeleGuard, chat aplikacija s preko milijun preuzimanja, reklamira se kao sigurna alternativa mainstream servisima. Istraživači su otkrili da aplikacija šalje privatne ključeve korisnika na vlastite servere, što potpuno ruši ideju end-to-end enkripcije. Bez lokalnoga čuvanja ključeva, svaka poruka postaje dostupna kompaniji ili napadačima koji presretnu promet. To što je TeleGuard uspio sakupiti milijun korisnika pokazuje koliko je tržište ranjivo na lažne sigurnosne tvrdnje.
Problem nije samo tehnički. TeleGuardova arhitektura sugerira da je namjera bila omogućiti server-side dešifriranje, možda za nadzor ili suradnju s vlastima. Iako to nije direktno potvrđeno, činjenica da se ključevi čuvaju na servisu umjesto na uređajima korisnika govori dovoljno. Za korisnike koji su vjerovali marketingu, ovo je pravo razočaranje – njihovi privatni razgovori nisu ništa sigurniji od običnoga SMS-a.
Što je još gore, TeleGuard nije izoliran slučaj. U posljednjih nekoliko godina pojavilo se više aplikacija koje obećavaju enkripciju, ali se zapravo oslanjaju na tehnologije koje su ili zastarjele ili namjerno oslabljene. Korisnici često nemaju tehničko znanje da provjere takve tvrdnje, a recenzije u trgovinama aplikacija često su lažne ili plaćene. To stvara klimu u kojoj lažne sigurnosne aplikacije mogu prosperirati na račun privatnosti korisnika.
Lažna sigurnost ugrožava privatnost korisnika i destabilizira tržište📷 © Tech&Space
Lažna sigurnost ugrožava privatnost korisnika i destabilizira tržište
Za korisnike TeleGuarda, najava o slaboj enkripciji nije samo tehnički propust – to je izravna prijetnja njihovoj privatnosti. Svaka osoba koja je koristila aplikaciju za osjetljive razgovore sada mora pretpostaviti da su te poruke kompromitirane. To uključuje poslovne razgovore, medicinske informacije ili privatne razmjene koje bi trebale ostati tajne.
U vrijeme kada su VPN-ovi, sigurni email servisi i enkriptirane aplikacije poput Signal ili WhatsAppa dostupni, TeleGuardova greška izgleda još neoprostivije. Industrija sigurnih komunikacija već godinama radi na standardizaciji enkripcije i transparentnosti. Aplikacije koje obećavaju privatnost moraju dokazati svoju sigurnost kroz neovisne revizije ili open-source kod. TeleGuard nije učinio nijedno od toga, a ipak je uspio privući milijun korisnika.
Pravi signal ovdje nije samo propust TeleGuarda, nego koliko je tržište spremno žrtvovati stvarnu sigurnost za prividnu udobnost. Korisnici koji žele enkriptirane razgovore trebaju tražiti aplikacije koje ne čuvaju ključeve na servisima, koje prolaze neovisne revizije i imaju transparentne procese. TeleGuardov slučaj samo je još jedan primjer kako lažna sigurnost može biti opasnija od potpune odsutnosti sigurnosti.
Tržište sigurnosnih aplikacija mora postati strože regulirano kako bi se spriječile slične prevare u budućnosti. Korisnici imaju pravo na istinu, a ne na marketinške iluzije.