Mavzu: WhatsApp messenjeri va uning xavfsizlik protokoli tahlili

Download 219,32 Kb.

bet	2/2
Sana	07.07.2022
Hajmi	219,32 Kb.
	#754731

1 2

Bog'liq
4R

x tensible Messaging and Presence Protocol (XMPP) real vaqt rejimida muloqot qilish uchun ochiq XML texnologiyasi boʻlib, u keng doiradagi ilovalarni, shu jumladan tezkor xabar almashish, mavjudlik va hamkorlikni taʼminlaydi.
XMPP - bu protokol; tizimlarning bir-biri bilan gaplashishiga imkon beruvchi standartlar to'plami. XMPP Internetda keng qo'llaniladi, lekin ko'pincha reklama qilinmaydi. Protokol (yoki standartlar) XSF (havola) tomonidan ko'rib chiqiladi. Mavjudlik ko'rsatkichi serverlarga siz onlayn / oflayn / band ekanligingizni bildiradi. Texnik nuqtai nazardan, mavjudligi XMPP ob'ektining holatini belgilaydi; oddiy tilda, siz u erdamisiz va xabarlarni olishga tayyormisiz yoki yo'qmi. XMPP ning "xabar almashish" qismi siz ko'rgan "parcha"dir; mijozlar o'rtasida yuborilgan tezkor xabar (IM). XMPP juda samarali surish mexanizmidan foydalangan holda barcha xabarlarni real vaqtda yuborish uchun mo'ljallangan; Holbuki, mavjud veb-mexanizmlar ko'pincha tarmoq yukini keltirib chiqaradigan ko'plab keraksiz so'rovlarni amalga oshiradi va shuning uchun real vaqtda emas. Ochiq standartda aniqlangan va ishlab chiqish va qo'llashning ochiq tizimli yondashuvidan foydalangan holda XMPP kengaytirilishi uchun mo'ljallangan. Boshqacha qilib aytganda, u o'sish va o'zgarishlarga moslashish uchun mo'ljallangan. Xavfsizlik devori bilan bog'liq muammolar mavjud bo'lsa, 80 va/yoki 443 portidan foydalanish ham mumkin . Protokol mijoz-server (c2s) va interserver (s2s) aloqalarini tavsiflaydi. XMPP yoqilgan messenjer s2s orqali boshqa XMPP messenjerlari bilan birlashishi uchun c2s standartiga amal qilishi shart emas Telefon raqami boʻyicha roʻyxatdan oʻtgan bir qator XMPP messenjerlari sizga boshqa XMPP mijozlaridan foydalanish yoki boshqa serverlarga ulanish imkonini bermaydi, biroq ularning serverlari federativ aloqani qoʻllab-quvvatlaydi.

4-rasm: XMPP protokolining ishlash sxemasi.

5-rasm: WhatsApp va boshqa messenjerlarning xavfsizligi o’rtasidagi farqlar.

WhatsApp messenjeri xavfsizligidagi kamchiliklar

Parol yaratish algoritmi va WhatsAppning dastlabki versiyalarida shifrlashning yo‘qligi bir necha bor tanqid qilingan. 2011-yilning may oyida WhatsApp foydalanuvchisining akkauntini seansni o‘g‘irlash va partiyalarni tahlil qilish uchun ochiq qoldirgan xavfsizlik tirqishi xabar qilindi. WhatsApp ma'lumotlarini uzatish shifrlanmagan va ma'lumotlar aniq matnda yuboriladi va qabul qilinadi, ya'ni paket yo'li kuzatilgan bo'lsa, xabarlarni osongina o'qish mumkin. 2011-yil sentabr oyida iPhone-ning yangi versiyasi chiqdi, bu xavfsizlik tirqishini yopdi, bu soxta xabarlarni yuborish va istalgan WhatsApp foydalanuvchisidan xabarlarni oʻqish imkonini beradi.
2012-yilning 6-yanvarida noma’lum xaker WhatsAppStatus.net veb-saytini ishga tushirdi, bu esa WhatsApp foydalanuvchisining telefon raqami ma’lum bo‘lsa, uning holatini o‘zgartirish imkonini berdi. Buning ishlashi uchun faqat dasturni qayta ishga tushirish kerak edi. Xakerning so‘zlariga ko‘ra, bu WhatsApp’dagi ko‘plab xavfsizlik muammolaridan biri xolos. 9-yanvar kuni WhatsApp muammoning yechimini e’lon qildi, garchi amalga oshirilgan yagona chora WhatsAppStatus.net saytining IP-manzilini bloklash bo‘lsa ham. Bunga javoban, xuddi shu funksiyaga ega Windows dasturi yuklab olish mumkin bo'ldi. Ushbu muammo hozirda tizimga kirgan sessiyaning IP manzilini tekshirish orqali hal qilindi.
2012-yil may oyida xavfsizlik boʻyicha tadqiqotchilar WhatsApp-ning yangi versiyasi endi xabarlarni aniq matnda yubormasligini taʼkidladilar, lekin keyinchalik ishlatilgan shifrlash usulining buzilishi tasvirlangan. 2012-yil 15-avgust kuni WhatsApp qo‘llab-quvvatlash xodimlari xabarlar shifrlash usulini ko‘rsatmagan holda iOS va Android uchun so‘nggi versiyalarda shifrlanganligini da’vo qilishdi (lekin BlackBerry, Windows Phone va Symbian uchun emas). 2012-yil avgustigacha xabarlar shifrlanmagan holda yuborildi, bu esa seansni oʻgʻirlash imkonini berdi. 2012-yil 15-avgustdan boshlab WhatsApp texnik yordamiga koʻra, xabarlar iOS va Android ilovalarida shifrlangan, biroq shifrlash usuli koʻrsatilmagan. Bundan tashqari 2018-yilda Jeff Bezos va Saudiya Arabistoni shahzodasi o’rtasidagi WhatsApp suhbati chog’ida Amazon rahbarining telefoni allaqachon buzib kirilgandi.
2012-yil 14-sentabrda Germaniyaning The H texnologik sayti WhatsApp API (WhatsAPI) dan istalgan hisobni o‘g‘irlash uchun qanday foydalanishni namoyish etdi. Ko'p o'tmay, WhatsAPI ishlab chiquvchilari uchun huquqiy tahdid da'vo qilindi, The H tomonidan xavfsizlik hisobotiga "aniq reaktsiya" sifatida tavsiflanadi, WhatsAPI manba kodi bir necha kun davomida mavjud emas edi. Keyin WhatsApp ishlab chiqish jamoasi faol rivojlanishga qaytdi.
2016-yilning aprel oyidan boshlab, 2.16.12 yangilanish versiyasini chiqarish bilan WhatsApp Signal ishlab chiqish ( Ochiq Whisper Systems ) asosida barcha foydalanuvchilar uchun End-to-end shifrlashni yoqdi. Shifrlash barcha turdagi xabarlar uchun qo'llaniladi: matn, fotosurat, video va ovozli xabarlar. Shifrlash guruh suhbatlarida ham mavjud. Kompaniya ma'lumotlariga ko'ra, bunday xabarlarni faqat qabul qiluvchining o'zi hal qila oladi, kontent hatto WhatsApp serverlarida ham mavjud emas. Amalga oshirish Curve25519, AES-256, AES-GCM, HMAC-SHA256, HKDFda ECDH algoritmlaridan foydalanadi. Ikki foydalanuvchi QR kodini skanerlash yoki 60 xonali raqamni solishtirish orqali shifrlash kalitlarini tekshirishi mumkin, bu sinf o'rtadagi odam hujumlarini bartaraf qiladi.
2017-yil boshida xabarlarni shifrlash tizimida Meta -ga ruxsat beruvchi orqa eshik aniqlangani ma'lum bo'ldi va boshqalar shifrlash kalitlarini yashirincha o‘zgartiradi va jo‘natuvchi ilovasidan xabarlarni yangi kalitlar bilan qayta shifrlashni va ularni qayta yuborishni talab qiladi (agar “Xavfsizlik bildirishnomalarini ko‘rsatish” sozlamasi yoqilgan bo‘lsa, xabar qayta shifrlangandan so‘ng jo‘natuvchi bu ma’lumot haqida bildirishnomani.) ko‘radi. Aslida, bu funksiya Facebook serverlariga foydalanuvchi xabarlarini tutib olish va shifrini ochish imkonini beradi. Ushbu zaiflikni aniqlagan tadqiqotchi Tobias Boelter (UCB) 2016 yil aprel oyida Meta bilan bog'landi, ammo bu funksiya tizim mualliflariga ma'lum va "kutilgan xatti-harakatlar" degan javob oldi. Kompaniya vakili xabarlarni qayta shifrlash imkoniyati zarurligini tushuntirdi, chunki ba'zi foydalanuvchilar telefon va SIM-kartalarni tez-tez o'zgartiradilar va kompaniya buning uchun choralar ko'radi. 2019-yil fevral oyida WhatsApp Apple foydalanuvchilari uchun foydalanuvchilarga Touch ID yoki Face ID yordamida messenjerni blokdan chiqarish imkonini beruvchi qoʻshimcha xavfsizlik tizimini taqdim etdi .
Maxfiylik va xavfsizlikning asosiy muammolari Kanada-Gollandiya hukumati qoʻshma tekshiruvi mavzusi boʻldi. Eng katta muammo shundaki, WhatsApp ilovasi o‘rnatilgach, foydalanuvchining qaysi kontaktlari messenjer orqali mavjudligini aytib berish uchun uning barcha mobil telefon raqamlarini foydalanuvchining manzillar kitobidan o‘z serverlariga ko‘chirib oladi. Shu bilan birga, istalgan odamning, hatto WhatsApp’dan foydalanmaydiganlarning ham aloqa ma’lumotlari serverga yuboriladi.

Xulosa.
Xulosa o’rnida shuni aytish mumkinki, WhatsApp messenjeri dunyoda o’zining barqarorligi, qulayligi, xavfsizlikga bo’ladigan tahdidlar va muammolarini doimiy ravishda o’rganib, bartaraf qilib borayotganligi bilan o’z o’rnini mustahkamlab bormoqda. WhatsApp messenjerida e’tiborga molik tarafi shundaki, shifrlangan xabarlar WhatsApp serverlarida emas, balki yetkazib berilgandan keyin qurilmangizda saqlanadi. Bu esa messenjerga bo’lgan ishonchni yanada oshiradi. Shunday qilib dunyoda xavfsiz axborot almashish vositasining o’zi yo’q. Lekin uni ma’lum xavfsiz darajada ushlab turish mumkin. WhatsApp messenjerining ham xavfsizlik tizimi mukammal emas, lekin boshqa messenjerlarga nisbatab samaradorligi bilan taqqoslaganda ishonchliligi bilan ajralib turadi.

Foydalanilgan adabiyotlar ro’yxati.

www.whatsapp.com
www.wikipedia.org
www.habr.com

Download 219,32 Kb.

Do'stlaringiz bilan baham:

1 2