Pärast seda, kui Jeff Bezose telefon sattus WhatsAppi kaudu saadetud pahatahtliku video tõttu ohtu, pani see kõiki teid loodetavasti enda telefoni turvalisuse peale mõtlema ja aru pidama, kui hõlpsalt võidakse teid häkkida. WhatsAppi kahe miljardi kasutaja kõige paremaks kaitsmiseks küberkurjategijate eest on juurutatud palju tööriistu, näpunäiteid ja nippe, kuid tõde on see, et kui ohusubjekt on piisavalt pühendunud, ei saa me muud teha, kui end võimalikult hästi kaitsta… ja loota, et ründajad liiguvad edasi vähem kaitstud sihtmärkidele.
Ent kui silmas pidada WhatsAppi, kas saame oma konto kaitsmiseks veel midagi teha? Sõnumid on juba krüptitud, mis tähendab, et õiguskaitseasutused ei saa otse nendesse eravestlustesse kaevuda, kuid kas on ka muid võimalusi? WhatsApp-sõnumi krüptimisvõti on olemas mõlemas vestluses kasutatavas seadmes, nii et ohusubjektid peaksid nende vestluslogide lugemiseks ühele või teisele käe vahele saama.
See on koht, kus enamik lugejaid võib enesega rahulolevalt kaasa noogutada, sest kasutavad oma seadmetes keerukat PIN-koodi või biomeetrilist sisestust. Mis aga oleks, kui saaksite haarata kellegi konto üle kontrolli vaid teades tema telefoninumbrit? See on vägagi võimalik ja hirmutavalt lihtne, kuid on olemas viise riski vähendamiseks ja selle toimumise vältimiseks teie kontol. Kirjeldan neid blogipostituse lõpus.
No nii, milles probleem?
Kui ostate uue telefoni ja installite kõik olemasolevad äpid ja seaded, te taastate varundusest, kusjuures WhatsApp nõuab koodi saatmist telefoninumbrile. See kood (tavaliselt saadetakse seadmesse, kuhu äpi installite) valideerib telefoni ja te olete oma vestlustes tagasi. Kui olete varundanud ka sõnumid, kuvatakse need kuni seadme varundamise viimase korrani; kui ei, siis kuvatakse ilma nende sõnumiteta inimeste ja rühmade nimed, kellega vestlete.
Just siin märkasin ma potentsiaalset puudust. Kas mul oleks võimalus luua kellegi teise WhatsAppi konto uues seadmes, napsates lihtsalt sihtmärgi telefonile saadetud koodi?
Otsustasin eelmisel nädalal katsetada oma hüpoteesi ühe oma kolleegiga (kes on tavaliselt minu sotsiaaltehnoloogiliste veidruste vastuvõttev pool, kuid osaleb endiselt hea meelega). Märkus. Ärge katsetage seda kellegagi, kes pole eelnevalt andnud sõnaselget luba!
Hiljuti mainisin meie vestluses, et on alati hea mõte varundada WhatsAppi vestlusi, kui ta seda pole teinud, sest ma ei sooviks, et need tal alatiseks kaoksid. Mõni päev hiljem kasutasin oma varutelefoni ja laadisin äpi alla. See küsis minu telefoninumbrit, et kontrollida installimisega seotud seadet.
Ei läinudki kaua aega, kui mu kolleeg lahkus oma töölaua juurest kohviautomaadi juurde, jättes telefoni nähtavalt oma töölauale, ja siis ma sisestasin tema telefoninumbri oma uude WhatsAppi kontole. Tema telefon sai kohe sõnumi (vaiksel režiimil) ja ma kõndisin tema töölauast mööda ja jätsin koodi meelde. Kirjutasin selle oma varutelefoni kinnitamisväljale… Et voilà – mul oli tema konto üle kontroll.
Ma nägin kõiki tema vestlusi äpis, kuid mitte sõnumeid. Et oma katset edasi viia, leidsin vestluse nimega “The Hunz”, millele saatsin sõnumi “Hei! Mul on närune päev… saatke meeme!”, millele sain tema pahaaimamatutelt sõpradelt sadu naljakaid reageeringuid.
Kui mu kolleeg koos latega töölaua juurde tagasi jõudis, ei olnud ta teadlik sellest, et ma pidasin tema sõpradega meemivestlust, kui endamisi kihistasin. Möödus mõni minut, kuni ta vaatas oma telefoni ja ütles valjult: “Veider, ma olen mingil põhjusel WhatsAppilt koodi saanud”. Ma märkasin tema mõtlikku pilku, kuid hiljem sain teada, et ainus, mida ta tegi, oli selle kustutamine.
Seejärel otsustasin kõik üles tunnistada ja rääkisin talle, mis just juhtus. Ta ei suutnud uskuda, kui lihtne on olnud tema konto ülevõtmine, ja leidis, et tavakasutajatele peaks tekitama rohkem turvalisust. Ta mainis õigesti, et paljud inimesed jätavad oma telefonid valveta, kuid ei mõtle sellele üldse, ka mitte avalikes kohtades, näiteks restoranides ja baarides. Pöörasin peagi oma tegevused seoses tema telefoniga tagasi ja taastasin tema kontrolli enda konto üle ning pakkusin talle siis nõu, kuidas sellist rünnet peatada.
Niisiis, kuidas saate kaitstuks jääda?
Esiteks peaksite SMS-sõnumites eelvaate välja lülitama. See võib tunduda ilmselge, kuid paljud soovivad, et sõnumite vaatamine oleks veelgi mugavam ja kiirem. Kui inimesed kasutavad kaheastmelist kinnitamist (tuntud ka kui kahefaktoriline autentimine) ilma autentimisäpita, saavad nad üldiselt SMS-i teel saadetud koode, aga kui neid saab vaadata lukustatud ekraanil, on need mõneti mõttetud kasutajale, kes on jätnud oma telefoni valveta.
Teiseks ei tohiks te seetõttu kunagi oma telefoni või seadet järelevalveta jätta. Olen näinud, kuidas lugematu arv inimesi rongis jäävad magama, telefon lebamas laual, või isegi lippavad WC-sse, jättes oma telefoni võõraste lähedusse. Lisaks on ettevõtetes palju pahasoovlikke inimesi, nii et isegi kui usaldate oma kolleege, on alati võimalus, et keegi läheduses proovib seda ründevektorit järele, mistõttu on mõistlik mitte kunagi jätta oma seadet valveta.
Lõpuks on veel parem viis oma konto kaitsmiseks, mis tuleb kohe ära teha. WhatsApp lõi äpi jaoks mõni aasta tagasi oma kaheastmelise kinnitamise, mida on lihtne järgida ja mis peatab selle ründe õnnestumise. Alljärgnevalt on esitatud selge tegevuse kulg, nii et avage äpp ja seadistage see!
Kuidas seadistada WhatsAppis kaheastmeline kinnitamine
Kui äpp on lahti, minge Seaded/Konto/Kaheastmeline kinnitamine ja klõpsake Luba. Järgnevalt sisestage kuuekohaline kood, mille suudate meelde jätta.
Seejärel sisestage täiendava tõrkekindlusena oma e-posti aadress. Lõpuks näete oma telefonis kaheastmelise kinnitamise seadistamist, nii et kellelgi on teie konto kaaperdamine või teie sõnumite teise seadmesse ülekandmine palju keerulisem.
Kui avate WhatsAppi, küsitakse teilt juhuslike ajavahemike järel PIN-koodi. Seda ei juhtu iga kord, kui äpi avate, ehk see ei tohiks tekitada ebamugavust.
Niiviisi olete aga paremini ette valmistatud turvalisema tehnoloogia kasutamiseks.