流行的消息传递应用程序失败EFF's security review

参加考试的学生

倡导组织电子前沿基金会(EFF)进行的一些最佳实践安全测试未能通过,其中包括Google Hangouts,Facebook聊天,Yahoo Messenger和Snapchat等世界上使用最广泛的消息传递应用程序。

该组织根据七个标准评估了39种消息传递产品,他们认为这些工具应满足,以确保数字通信的私密性和安全性。

审查的产品包括移动短信应用程序,即时消息客户端,语音和视频通话软件以及电子邮件服务。结果在星期二以 安全消息记分卡.

EFF没有对已审核产品中的加密实现方式进行漏洞评估或深入的技术分析。相反,它基于认为对于防止通信受到政府广泛的Internet监视(包括传输中的数据收集或来自在线服务提供商的监视)所必需的原理和功能来进行判断。

EFF在审查产品时,提出了以下问题:

-应用程序是否加密传输中的数据?

-是否使用提供商无权访问的密钥对通信进行加密?这要求使用直接在用户客户端之间协商的加密密钥,也称为端到端加密。

-即使服务提供商受到损害,用户也可以独立验证与之交谈的联系人的身份吗?

-即使用户的长期私钥受到破坏,以前的通信是否仍然安全?称为前向保密性的此属性要求对每个会话使用临时加密密钥的加密实现。

-产品的通信和加密代码是否可以接受独立审查?

-产品的密码设计是否有据可查?这需要列出产品的加密和认证算法;记录密钥生成,存储和交换机制;描述撤销和更改密钥的过程;说明软件旨在提供的保护以及可能不安全的情况。

-在过去的12个月中,产品的设计和实现是否经过了独立的安全审核?由独立于同一组织中产品开发团队的安全团队进行的审计就足够了。

六个应用程序,其中大多数是开源的,都满足了EFF的所有要求:CryptoCat,基于Web的即时消息传递应用程序; ChatSecure,用于iPhone和Android的加密聊天客户端; TextSecure,适用于Android的短信应用程序; RedPhone,一个用于Android的加密呼叫应用程序和Signal(用于iOS的版本);静默文本和静​​默电话,由安全通信提供商Silent Circle提供的加密短信和通话应用程序。

还有其他一些接近的应用程序,仅在一项标准上没有通过-年度代码审核或前瞻性保密要求。这些产品是Mailvelope,RetroShare,Subrosa,Jitsi,Adium和Pidgin。

在大众市场产品中,苹果的iMessage和FaceTime得分最高,仅满足两项要求:独立审查的代码可用性和带外联系人身份验证。联邦调查局说,这意味着它们目前无法提供针对复杂,有针对性的监视形式的全面保护。

其他广泛使用的通信工具的得分要差得多,仅满足七个要求中的一两个。 Google环聊,Facebook聊天,Yahoo Messenger,Snapchat,WhatsApp,Viber,AIM,BlackBerry Messenger和其他几个案例就是这种情况。这些产品均未提供端到端加密,因此通过它们进行的通信容易受到提供商方面的监视。

南非移动社交网络Mxit和广泛使用的中文即时消息服务QQ完全不提供加密,这使它们成为经过测试的39种产品中最不安全的产品。

有关:

版权© 2014 IDG通讯,Inc.