Jsem teď na mobilních datech, takže jsem si ta videa nepouštěl. O zranitelnosti a jednoduché zneužitelnosti mobilních sítí ale vůbec nepochybuji. Nakonec to není tak dávno, co o tom někdo publikoval další článek na renomovaném odborném fóru a psalo se o tom myslím i tady.
Na druhou stranu mi to přijde jako běžný man-in-the-middle, ne? To se přece stejně musí řešit úplně všude od SSH po HTTPS. Třeba Signal (https://play.google.com/store/apps/details?id=org.thoughtcrime.securesms) to řeší tak, že je možné ověřit klíče protistrany nezávislým kanálem, např. při osobním setkání. Při změně klíče je na to příjemce zprávy jasně upozorněn.
Pokud to v článku uvedené aplikace neumožňují, je to jednoznačně chyba jejich implementace. A pokud to umožňují, tak je jen na uživateli, aby je používal správně. Že je často chyba mezi klávesnicí a židlí, to je jiný problém.
Přesně tak.
Divím, se že tohle nikdo nezmiňuje už v článku. Toto je naopak situace, kdy člověka může E2E šifrování chránit velmi dobře - pokud si uvědomuje že součástí bezpečnostního schématu je ověřování klíčů. WhatsApp, pokud vím, ruční kontrolu klíčů umožňuje a v nastavení by mělo být možné aktivovat varování o změně klíče protistrany stejně jako v Signalu (bohužel opt-in).
I úvodní odstavec je dosti zavádějící - přímo k aplikaci se tu nikdo nedostává.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).
