Bezpieczeństwo TextSecure potwierdzone: komunikator zapewnia poufność
Komunikatory mobilne to obecnie nic nadzwyczajnego. Rynek jest pełen tego typu produktów, a przykłady to chociażby Facebook Messenger, Hangouts, WhatsApp czy Viber. Niestety, większość z nich nie jest w stanie zapewnić odpowiedniego poziomu bezpieczeństwa. W przypadku każdej z wymienionych aplikacji zainteresowane służby mogą przechwycić i odczytać treść naszych wiadomości. Czy jesteśmy skazani na podglądanie? Nie, dzięki audytom bezpieczeństwa okazuje się, że istnieją również aplikacje oferujące naprawdę bezpieczną komunikację.
05.11.2014 | aktual.: 06.11.2014 10:09
Według badania niemieckich naukowców z Ruhr University Bochum można stwierdzić, że do ich grona należy dosyć popularna aplikacja TextSecure tworzona przez firmę WhisperSystems. Sprawdzili oni kilka komunikatorów, ten okazał się na tyle dobry, że można uznać go za produkt bezpieczny, który gwarantuje poufność przesyłanych przez nas wiadomości. Jest to powód do zadowolenia nie tylko dla jego bezpośrednich użytkowników, ale również osób korzystających z modyfikacji CyangodenMod. Od grudnia zeszłego roku integruje ona w sobie ten sam mechanizm, który znajdziemy w TextSecure oferując swoim użytkownikom automatyczne zabezpieczanie wiadomości.
Działanie tego komunikatora bazuje na kryptografii asymetrycznej. Niemieckim naukowcom udało się jednak przełamać jego zabezpieczenia. Jak? Okazało się, że TextSecure jest podatny na atak typu Unkown Key-Share (UKS). W takim scenariuszu jedna ze stron wysyła do adresata klucz publiczny kogoś zupełnie innego. Ten nieświadomy, że tak naprawdę będzie wysłał dane komuś innemu szyfruje je i przesyła do „atakującego”. Nie może on odczytać wiadomości, może jednak przekazać je dalej, do osoby, której klucz wykorzystał. Informacje o możliwości dokonania ataku i proponowany sposób usunięcia podatności zostały przekazane deweloperom TextSecure, którzy to potwierdzili i szybko zajęli się sprawą. Innych przeciwwskazań nie było – jeżeli więc zależy wam na poufności na Androidzie, polecamy właśnie tę aplikację.
Po zainstalowaniu i pierwszym uruchomieniu TextSecure oferuje dołączenie do usługi online. Jest to realizowane za pomocą weryfikacji numeru telefonu poprzez wiadomość SMS lub połączenie telefoniczne. Bez rejestracji nie jest możliwe korzystanie z niektórych funkcji tego komunikatora. Główne okno wiadomości przedstawia wszystkie wiadomości w formie listy dyskusji. Program umożliwia importowanie danych z innych aplikacji: systemowej bazy danych, zaszyfrowanej kopii zapasowej wykonanej wcześniej przez TextSecure, a także w ramach plików kopii zapasowej z aplikacji „SMSBackup And Restore”. W ramach ustawień możliwe jest wykonanie eksportu dyskusji do pliku zgodnego z tą aplikacją. Nad listą wątków znajdują się przyciski odpowiadające za rozpoczęcie nowej dyskusji, wyszukiwanie, a także przejście do opcji.
Domyślne działanie komunikatora opiera się o obsługę SMSów. Jeżeli użytkownik zdecyduje się na wymianę danych ze szczególną dbałością o prywatność, musi rozpocząć transmisję szyfrowaną. Następuje wtedy wymiana kluczy pomiędzy klientami, która pozwala na zabezpieczenie treści przed wzrokiem niepowołanych osób. Możliwe jest tworzenie grup osób, do których będą wysyłane takie wiadomości. Oprócz tekstu wiadomości mogą zawierać także pliki w formie załączników. Kod projektu jest otwarty i dostępny na platformie GitHub. Aplikacja przeszła również z powodzeniem audyt bezpieczeństwa, który stwierdził, że jest ona naprawdę bezpieczna. Okno rozmowy pozwala również na szybkie wykonanie połączenia głosowego, a także dodanie nowej osoby do kontaktów.
Aplikacja w trybie pracy jako komunikator obsługuje powiadomienia push. TextSecure może być wykorzystywany jako domyślna aplikacja SMS, obsługuje ponadto raporty dostarczania wiadomości. Ustawienia pozwalają m.in. na skonfigurowanie powiadomień (w tym koloru i zachowania diody LED), wybór motywu graficznego, a także zablokowanie dostępu do aplikacji przy pomocy hasła. Domyślnie program blokuje wykonywanie zrzutów ekranowych w celu ochrony treści wiadomości. Jest on udostępniany za darmo, posiada w pełni spolszczony interfejs. Komunikator znajdziecie w bazie aplikacji mobilnych naszego serwisu.