2017 nagy változást hozott a Facebook által felvásárolt WhatsApp történetében, miután csevegőjében IT-s szakemberek felfedeztek egy olyan sebezhetőséget, amelyen keresztül az anyacég, vagy akár a hírszerző szervek is hozzáférhetnek a felhasználók titkosított üzeneteihez, holott a közösségi óriás váltig állította: a teljes titkosításnak köszönhetően senki nem tudja azokat elolvasni. Bár azóta sokan átpártoltak más alkalmazásokhoz, világszerte továbbra is több mint kétmilliárdan használják naponta a WhatsAppot.

Az incidens után a cég bevezette az úgynevezett "end-to-end" titkosítást: a végpontok közötti kommunikáció biztonságossá tétele fontos szerepet játszik a magánszféra védelmében és a közbeékelődéses (man-in-the-middle, MITM) támadások bizonyos formáinak megelőzésében. Magyarán minden egyes titkosított üzenet esetén, csupán két ember olvashatja azokat, mégpedig a küldő és a fogadó. Ez a módszer egyébként hatékony biztonsági funkció, ettől függetlenül léteznek kiskapuk, melyek miatt nem érezhetünk teljes körű védelmet.

Milyen adatokat gyűjt rólunk a WhatsApp?

Mivel az alkalmazás manapság nincs túlzottan szem előtt, sokan bizonyára nem gondolnák, hogy jóval többet tud rólunk, mint hinnénk. Adatgyűjtése bizonyos tekintetben megegyezik más applikációkéval, ezeket alapelveikben fel is tüntetik, ugyanakkor mivel a WhatsApp a Facebookhoz tartozik,

így olyan információknak is birtokába juthat, amit korábban csak Facebookon vagy Instagramon adtunk meg.

Az információcsere pedig vice versa módon történik, azaz a WhatsApp által a Facebook is tudja telefonunk rendszerinformációit (beleértve a telefon típusát, tartózkodási helyünk irányítószámát, és egy csomó mindent az operációs rendszerről). Plusz olyasmiket is, hogy mikor léptünk be utoljára a WhatsApp-ba, mikor regisztráltunk és milyen gyakran használjuk üzenetküldésre. Érdekesség, hogy abban a bizonyos balszerencsés 2017-es évben, az EU kilencvennégymillió font büntetés szabott ki a cégre a felhasználói adatok veszélyeztetése miatt. A cég a jövőben ráadásul gyakoribb hatósági ellenőrzésekre számíthat, tekintve, hogy a képzeletbeli határvonal egyre inkább összemosódik a Facebook, a WhatsApp, a Messenger és az Instagram között. (Ettől függetlenül az említett end-to-end titkosítás miatt üzeneteinket  valóban csak mi, illetve a címzett látja.)

A WhatsApp ugyanakkor több információt gyűjt rólunk, mint amennyit megoszt a Facebookal.

Ezek többnyire a felhasználói viselkedésről árulkodó metaadatok, így például a vállalat adatvédelmi irányelvei szerint dokumentálja, hogy miként lépünk kapcsolatba másokkal a szolgáltatásaiban (az interakciók idejét, gyakoriságát és időtartamát ugyancsak nézi), valamint bizonyos diagnosztikai információkat az alkalmazás összeomlásáról és más információkat, például a beállított állapotokat, a csoport funkcióit, a profilképünket, és, hogy mikor vagyunk online. Ezen felül a WhatsApp 'látja' a telefon akkumulátorának töltöttségét, a jelerősségét és a mobilszolgáltatónkat is. Valamint bekapcsoláskor helyadatokat is lekérdez, illetve bizonyos sütik nyomon követik tevékenységünket az alkalmazás asztali és webes verzióin belül.

Kapcsoljuk ki a felhőalapú háttérmentéseket

A WhatsApp lehetővé teszi, hogy biztonsági másolatot készítsünk a csevegésekről, amiket praktikus módon áthelyezhetünk egy új készülékre - bár ez nem működik, ha iPhoneról Androidra váltunk. Ezek a biztonsági mentések a Google Driveban vagy az Apple iCloudon tárolódnak attól függően, hogy melyik operációs rendszert használjuk.

A biztonsági mentések azonban nincsenek megfelelően titkosítva, vagyis ha valaki egyszer hozzáfér, az életünk nyitott könyvvé válik előtte.

Szakértők szerint ez az end-to-end titkosítás legnagyobb hátulütője. Egyes jelentések szerint a WhatsApp jelenleg jelszóval védett biztonsági másolatokat tesztel, de ezeket a vállalat mostanáig nem terjesztette el széles körben, és nem is jelentette be hivatalosan.

Kapcsoljuk be a kétlépcsős hitelesítést

Amikor csak lehetséges, erősen ajánlott a kétfaktoros hitelesítés használata, kiváltképp olyan kritikus szolgáltatások esetében, mint például az email vagy a fájltárolás. A kétfaktoros hitelesítés növeli adataink biztonságát, hisz a támadóknak sokkal nagyobb erőfeszítésükbe kerül, hogy a felhasználói fiókjainkhoz hozzáférjenek. A kétlépéses hitelesítés engedélyezéséhez nyissuk meg a WhatsAppot, menjünk a Beállításokra, azon belül a Fiókra, és válasszuk ki a Kétlépéses hitelesítés-Engedélyezés opciót.

A szolgáltatás engedélyezésekor megadhatjuk email címünket, ahová a WhatsApp elküldi a linket, ahol le is tilthatjuk a kétlépéses hitelesítést, amennyiben elfelejtjük a hatjegyű PIN-kódunkat, illetve segít megőrizni fiókunk védelmét. Az email megadásánál nem kérnek hitelesítést, vagyis mindig győződjünk meg róla, hogy pontosan adtuk meg, így akkor sem zárjuk ki magunkat a fiókból, ha elfelejtenénk a PIN-kódot. Fontos:

amennyiben értesítést kapunk arról, hogy kapcsoljuk ki a kétlépéses hitelesítést, pedig nem is igényeltük, ne kattintsunk a linkre.

Elképzelhető, hogy valaki más próbálkozik a telefonszámunkkal hitelesíteni a WhatsAppon.

Korlátozzuk, hogy mit látnak rólunk mások

A WhatsAppon lehetőségünk van hitelesíteni, hogy az elküldött üzenetek valóban titkosítottak-e a végpontok között. Ehhez egyszerűen ellenőrizzük a jelzőket a kontakt adatai vagy csoport adatai képernyőn. Akit érdekel, itt elolvashatja a WhatsApp végpontok közötti titkosításáról szóló részletes technikai leírást. Ami pedig a csoportokat illeti, hatékonyak azok a biztonsági lépések, amelyek megakadályoznak másokat abban, hogy felvegyenek minket csoportokba.

A 'Csoportok' beállítás alatt korlátozhatjuk, hogy ki adhat hozzá minket egy csoporthoz.

Alapértelmezés szerint a "mindenki" funkciót jeleníti meg, de kiválaszthatjuk, kit szeretnénk letiltani. Mindez persze nem jelenti azt, hogy nem csatlakozhatunk közösségekhez, hanem, hogy ezentúl engedélyköteles lesz a részünkről, ha egy másik felhasználó hozzáadna minket egy újhoz.

(Fotó: Unsplash/Rachit_Tank)