UGROŽENA SIGURNOST

Novo istraživanje pokazalo koja aplikacija za dopisivanje je najsigurnija

31.07.2023 u 10:19

Bionic
Reading

U svijetu u kojem su privatnost i sigurnost sve više ugroženi, šifrirane aplikacije za razmjenu poruka sve su popularniji i usto sve nužniji način dijeljenja informacija, organiziranja i međusobnog sudjelovanja

Od rujna 2022. do svibnja 2023. skupnja stručnjaka iz agencij Tech Policy Press i Convocation Research and Design analizirala je popularne aplikacije za razmjenu poruka – uključujući Signal, WhatsApp, Telegram, Google Messages, Apple Messages i Meta's Messenger – među ostalim tehničku sigurnost, korisničko iskustvo, način na koji aplikacije komuniciraju s korisnicima i programere, te njihove politike, odredbe i uvjete.

Premda nijedno sredstvo digitalne komunikacije nije sigurno, autori istraživanje navode da je Signal najsigurnija od ranije spomenutih aplikacija, jer je jedina aplikacija poduzela korake za skrivanje korisničkih profila, kontakata, metapodataka grupa, pa čak i informacija o pošiljatelju poruka.

'Drugi programeri moraju slijediti primjer Signala i sakriti korisničke metapodatke držeći ih šifriranima ključem korisničkog računa i rukovanjem samo nekriptiranim verzijama u sigurnim područjima', ističe se. S druge strane, aplikacija je ranjiva zbog zahtjeva za prikazom telefonskog broja te prijavom uz obvezno telefonskog broja.

U istraživanju autori ističu da korisnici često 'trče pred rudo', pa tako i oni koji doista brinu o privatnosti, rijetko imaju dovoljno informacija kako bi donijeli odluke koje su u njihovu najboljem interesu. Najvažnije je svakako imati na umu koliko su osjetljive informacije koje žele poslati.

'Postoji znatan jaz između obećanja enkripcije i realnosti prijetnji sigurnom slanju poruka u praksi', ističe se u istraživanju. Susreli smo se s raznim oblicima 'sigurnosnog folklora' koji donosi odluke u ime korisnika umjesto informacija utemeljenih na činjenicama, kao i 'sigurnosnog nihilizma', iscrpljujućeg osjećaja među nekima da ne postoji način za sigurnu komunikaciju, navodi se u studiji.

Kriptografska sigurnost aplikacije ne znači da je ona doista i sigurna. Implementacija je sve, navode autori istraživanja. 'Neuspjeh implementacije end-to-end enkripcije prema zadanim postavkama, kao na Telegramu i Metinom Messengeru, ilustrira ovu tvrdnju. Korisnici možda neće razumjeti razliku kada im se predoče zbunjujuće opcije poput 'tajnog razgovora' i 'privatnog razgovora'. I malo korisnika razumije razlike u dizajnu, kao što su različite boje za poruke u Appleovim iMessage i Google Messages, koje su namijenjene komuniciranju različitih vrsta poruka (SMS ili šifriranih), a time i različitih razina sigurnosti', navode autori.

Ističu i da bi se korisnicima trebalo dopustiti da sami odluče koje značajke trebaju biti uključene ili isključene. 'Tvrtke trebaju dopustiti uključivanje i isključivanje bilo koje značajke koja utječe na privatnost i sigurnost te istražiti i implementirati preciznije postavke koje korisnicima, osobito visokorizičnim korisnicima, omogućuju da prilagode uslugu svojim potrebama, uključujući i kada je u pitanju do nestajanja poruka, pregleda veza, pohranjivanja i brisanja zapisa poziva i povijesti interakcija', ističe se. Autori dodaju i da obje strane moraju šifrirati komunikaciju kako bi ona doista bila sigurna.

'Od nekriptiranih sigurnosnih kopija poruka i upotrebe telefonskih brojeva kao identifikatora, do nedostataka u načinu na koji se postupa s izbrisanim porukama, zbunjujućih imenovanja za određene značajke i lošeg korisničkog dizajna na nekim opcijama – postoji niz tehničkih i dizajnerskih problema koje tvorci aplikacije za razmjenu poruka moraju hitno riješiti', navode autori.

Enkripcija se mora braniti, ističe se u istraživanju. Vlade diljem svijeta – uključujući i demokracije – prijete enkripciji nizom novih propisa i zakona koji će učinkovito razbiti model aplikacija kao što su Signal i WhatsApp. Ključno je da kreatori politika, industrija i aktivisti koji razumiju vrijednost enkripcije govore u njezinu obranu, zaključuju autori.