Oavsett om du delar konfidentiell information eller byter filmidéer med en vän, vänder sig folk till appar för privata meddelanden som erbjuder end-to-end-kryptering för att skydda innehållet i deras konversationer.

När data delas över internet passerar den ofta en rad nätverk för att nå sin destination. Appar som WhatsApp, som ägs av sociala mediejätten Meta (tidigare Facebook), ger en integritetsnivå som till och med utmanar statliga myndigheter från att komma åt krypterade konversationer.

Men eftersom apparna ständigt ändrar sina säkerhets- och integritetspolicyer, är meddelandena fortfarande säkra från att dekrypteras?

Tillbaka i maj 2021, ogillade onlinegemenskapen med ändringarna av WhatsApps integritetspolicy för företag som använder plattformen, såg många användare att byta till andra privata meddelandeappar som Signal och Telegram.

Cybersäkerhetsexpert, Dr. Arash Shaghaghi från UNSW School of Computer Science and Engineering och UNSW Institute for Cyber ​​Security, jämför kryptering med att ha en hemlig konversation mellan dig och en annan person.

"För att hålla vår information borta från nyfikna ögon förlitar vi oss på kryptografiska algoritmer för att kryptera vår data. Kryptering innebär att konvertera mänskligt läsbar klartext till ett kodat format och data kan bara läsas efter att de har dekrypterats", säger han.

"Kryptering innebär att man använder en nyckel för att låsa ett meddelande, medan dekryptering är att använda en nyckel för att låsa upp ett meddelande.

"I teorin, om en utomstående observerade en krypterad konversation, kunde de inte förstå det, och de kommer att behöva lämplig nyckel för att dekryptera den.

"Intressant nog, med vissa end-to-end-krypteringsprotokoll, såsom Signal, även om någon stjäl krypteringsnycklarna och knackar på anslutningen, kan de inte dekryptera meddelanden som redan har skickats. På kryptospråk kallas detta vidarebefordran."

Är våra meddelanden helt säkra?

Moderna krypteringsalgoritmer har stridstestats och visats inte ha några kända sårbarheter. Även om det inte betyder att det är omöjligt att knäcka, kräver processen omfattande bearbetningskrafter och kan ta avsevärt lång tid att göra. Kvantdatorer, om de är mogna nog, kommer att kunna knäcka mycket av dagens kryptering.

Angripare riktar sig vanligtvis mot slutpunkter och deras sårbarheter. Detta är mycket enklare än kryptoanalys som är den process som används för att bryta mot kryptografiska säkerhetssystem.

Till exempel, förra året, riktade sig angripare på en sårbarhet relaterad till WhatsApps bildfilterfunktion som utlöstes när en användare öppnade en bilaga som innehåller en uppsåtligt skapad bildfil. Det har rapporterats om allvarligare och mindre komplicerade sårbarheter riktade mot WhatsApp-klienter som körs på iOS och Android.

Dr. Shaghaghi säger att när du säkerhetskopierar dina meddelanden på några av meddelandeplattformarna, skickas dina meddelanden till molnet. Det betyder att alla dina meddelanden nu lagras på någon annans dator.

"Tjänsteleverantörens implementering av end-to-end-kryptering spelar en viktig roll för säkerheten och integriteten för en meddelandeapp mot leverantören och angriparna", säger han.

"WhatsApp brukade hålla en säkerhetskopia av meddelandena i ett okrypterat format över iCloud för Apple-användare och Google Drive för de som använde WhatsApp i Android. Även om WhatsApp antog en end-to-end-krypteringsmodell 2016, var okrypterade säkerhetskopior sårbara för myndighetsförfrågningar, hackning från tredje part och avslöjande från Apple eller Googles anställda."

2021 lanserade WhatsApp ett alternativ för användare att aktivera end-to-end-kryptering av sina säkerhetskopior. Även om detta välkomnades som ett positivt steg framåt, borde det vara standard för alla användare – inte erbjuds som ett alternativ, säger Dr. Shaghaghi.

"Användare som är oroade över säkerheten och integriteten för deras data måste se till att aktivera end-to-end krypteringsbackup för WhatsApp och andra meddelandeplattformar."

Vad sägs om Signal och Telegram?

Till skillnad från WhatsApp och Signal har Telegram inte end-to-end-kryptering aktiverad som standard. Endast när "säker chatt"-funktionen är aktiverad, tillämpar Telegram MTProto-protokollet, ett öppen källkod och specialutvecklat protokoll av meddelandeleverantören.

"Så vitt vi vet är Signal, Telegram och WhatsApp säkra när det gäller att tillhandahålla end-to-end-kryptering, om alternativet är aktiverat", säger Dr. Shaghaghi.

"Men, Signal är byggd med integritet och säkerhet som den primära motivationen. Signals endpoint-källkod är också tillgänglig för allmänheten – detta gör att alla kan inspektera koden och identifiera sårbarheter.

"Jag tror att konsensus är att Signal är en säkrare och integritetsvänligare meddelandelösning jämfört med WhatsApp, Telegram eller Facebook Messenger."

Med så många meddelandeplattformar tillgängliga på marknaden säger Dr. Shaghaghi att det finns några enkla steg att ta för att skydda en användares integritet.

"Meddelandeplattformar innehåller mycket privat information så det är värt att se till att plattformen vi använder har ett gott rykte för att säkerställa användarnas säkerhet och integritet", säger han.

"Det är också värt att spendera några extra minuter för att aktivera några av de mer avancerade säkerhetsfunktionerna som dessa plattformar erbjuder, såsom end-to-end backup-kryptering eller multi-factor autentisering.

"Och vilken plattform du än väljer att använda är det bästa praxis att se till att vi använder den senaste versionen av apparna och undviker att ladda ner appar från tredjepartsbutiker."

Moderera innehåll som utbyts över krypterade meddelandeplattformar från ände till ände

Det har funnits starka krav från olika regeringsorganisationer för att dessa appar ska inkludera bakdörrar som skulle ge tillgång till data när myndigheterna anser det krävas.

Nya läckor från U.S. Federal Bureau of Investigation (FBI) visade att även med en stämningsansökan har kraftfulla statliga enheter begränsad tillgång till meddelanden som utbyts via appar som använder end-to-end-kryptering.

Detta argument är särskilt oroande för många användare som är oroade över att det är det första steget bort från de starka krypteringsprinciperna som de litar på för att säkerställa säkerheten och integriteten för deras data.

Det har pågått debatter i Australien och utomlands angående detta ämne.

"Ur ett säkerhetstekniskt perspektiv är det aldrig en bra idé att implementera en bakdörr", säger Dr. Shaghaghi.

"Det finns ingen garanti för att illvilliga hackare inte också får reda på dessa bakdörrar och utnyttjar dem.

"Men de som är för en lösning som tillåter åtkomst för brottsbekämpande myndigheter hävdar att de behöver åtkomst med tanke på den ökande användningen av dessa plattformar av kriminella."

Vissa meddelandeleverantörer och teknikföretag har svarat genom att göra ändringar i plattformens funktionalitet.

"För att uppfylla regulatoriska krav tillåter WhatsApp nu användare att flagga ett meddelande som ska granskas av deras moderatorer. Detta måste initieras av en användare och när ett meddelande flaggas vidarebefordras de få meddelanden innan det också till WhatsApp-moderatorer", säger Dr. Shaghaghi.

"Apple har främjat krypterad meddelandehantering i hela sitt ekosystem och har kämpat mot brottsbekämpande myndigheter som letar efter register.

"2021 tillkännagav de barnsäkerhetsfunktioner som inkluderar upptäckt av sexuellt explicita bilder via iMessage, en annan plattform som använder end-to-end-kryptering. För att implementera den här funktionen planerar Apple att implementera upptäckten på enheten och inte genom en bakdörr med kryptering.

"Jag tror att vi kan balansera behovet av att moderera kriminellt innehåll och säkerhets- och integritetskrav genom att dela upp problemet i mer specifika användningsfall och utveckla innovativa lösningar." + Utforska vidare

Säkerhetsfel hittades i WhatsApp, Telegram:forskare