Ήρθε η ώρα να επεκταθεί η κρυπτογράφηση σε Android και iPhone. Με τις κυβερνήσεις σε όλο τον κόσμο να εμπλέκονται σε συνεχείς επιθέσεις στα ψηφιακά δικαιώματα των χρηστών και την πρόσβαση στο διαδίκτυο, η αφαίρεση κραυγαλέων και δυνητικά επικίνδυνων κενών όταν οι άνθρωποι χρησιμοποιούν τα κινητά τους τηλέφωνα είναι πιο σημαντική από ποτέ.
Μέχρι στιγμής έχουμε δει βήματα για τη διατήρηση τουλάχιστον ιδιωτικών μηνυμάτων σε κινητές συσκευές με κρυπτογραφημένες εφαρμογές από άκρο σε άκρο όπως το Signal, το WhatsApp και το iMessage. Η κρυπτογράφηση στον Παγκόσμιο Ιστό έχει υιοθετηθεί ευρέως. Το μεγαλύτερο μέρος της κυκλοφορίας ιστού είναι κρυπτογραφημένο και για να έχει μια αξιόπιστη παρουσία ενός ιστότοπου με προγράμματα περιήγησης, πρέπει να πληρούν ορισμένες απαιτήσεις που επιβάλλουν σήμερα τα μεγάλα προγράμματα περιήγησης. Μηχανισμοί όπως η διαφάνεια πιστοποιητικών, οι κανόνες κοινής χρήσης πόρων μεταξύ προέλευσης (CORS) και η επιβολή HTTPS συμβάλλουν στην αποτροπή κακόβουλης δραστηριότητας που συμβαίνει στους χρήστες καθημερινά.
Ωστόσο, τα κινητά ήταν πάντα ένα διαφορετικό και συνεχώς διευρυνόμενο πλαίσιο. Οι χρήστες έχουν πρόσβαση στο Διαδίκτυο από κινητές συσκευές μέσω πολύ περισσότερων εφαρμογών από το πρόγραμμα περιήγησης ιστού. Οι εφαρμογές για κινητά έχουν περισσότερο χώρο για την αναπαραγωγή αιτημάτων δικτύου στην εφαρμογή χωρίς ο χρήστης να γνωρίζει ποτέ πού και πότε στάλθηκε ένα αίτημα. Δεν υπάρχει “γραμμή URL” για να δείτε τη διεύθυνση URL αιτήματος δικτύου για να τη δει και να ελέγξει ο χρήστης. Σε ορισμένες περιπτώσεις, οι εφαρμογές είναι γνωστό ότι «προβάλλουν τις δικές τους» κρυπτογραφικές διαδικασίες εκτός των μη τυπικών πρακτικών κρυπτογράφησης.
Ενώ υπάρχουν πολλά να συζητηθούν για τα ζητήματα απορρήτου του TikTok και άλλες εφαρμογές κοινωνικών μέσων, προς το παρόν, ας εστιάσουμε μόνο στην κρυπτογράφηση. Το 2020 ένας ερευνητής ασφάλεια, ο Baptiste Robert βρήκε ότι το TikTok χρησιμοποίησε τη δική του «προσαρμοσμένη κρυπτογράφηση» που ονομάστηκε «ttEncrypt». Αργότερα μια έρευνα έδειξε ότι αυτή περιείχε έναν αδύναμο αλγόριθμο κρυπτογράφησης σε σύγκριση με τη χρήση απλώς HTTPS. Τελικά, το TikTok αντικατέστησε το ttEncrypt με HTTPS, αλλά αυτό είναι ένα παράδειγμα μιας από τις πολλές επιτρεπόμενες πρακτικές στις οποίες μπορούν να συμμετάσχουν οι εφαρμογές για κινητές συσκευές χωρίς ιδιαίτερη ρύθμιση, διαφάνεια ή έλεγχο από τον χρήστη.
Το Android έχει κάνει κάποια βήματα για την προστασία της επισκεψιμότητας των χρηστών στις εφαρμογές, όπως το να σας επιτρέπει να ορίζετε ιδιωτικό DNS. Ωστόσο, στο Android οι προγραμματιστές εφαρμογών μπορούν ακόμα να ορίσουν μια flag για χρήση καθαρού κειμένου/μη κρυπτογραφημένων αιτημάτων. Οι κάτοχοι Android θα πρέπει να μπορούν να αποκλείουν αιτήματα εφαρμογών που συμμετέχουν σε αυτήν την πρακτική. Αλλά οι ρυθμίσεις ασφαλείας θα ήταν μια πολύτιμη ρύθμιση, μιας μπορεί να είναι δύσκολες για τους χρήστες λόγω έλλειψης κατανόησης,. Ειδικά από τη στιγμή που οι χρήστες βομβαρδίζονται επί του παρόντος στις συσκευές τους με εισοδοποίησεις ενεργοποίησης λειτουργιών, πουί ούτε καν εχουν ζητήσει ή θέλλουν. Αυτό το flag δεν μπορεί να καταγράψει όλη την κυκλοφορία καθαρού κειμένου λόγω του όγκου πρόσβασης στο δίκτυο «κάτω από» το HTTPS στη στοίβα δικτύου που μπορούν να ελέγξουν οι εφαρμογές. Ωστόσο, θα ήταν ένα καλό πρώτο βήμα για πολλές εφαρμογές που εξακολουθούν να χρησιμοποιούν HTTP/μη κρυπτογραφημένα αιτήματα.
Όσο για το iOS, η Apple εισήγαγε μια δυνατότητα που ονομάζεται iCloud Private Relay. Σύμφωνα με την Apple “Το iCloud Private Relay έχει σχεδιαστεί για να προστατεύει το απόρρητό σας διασφαλίζοντας ότι όταν περιηγείστε στον ιστό στο Safari, κανένα μέρος —ούτε η Apple— δεν μπορεί να δει ποιος είστε και ποιους ιστότοπους επισκέπτεστε.” Αυτό βοηθά στην προστασία της διεύθυνσης IP σας από ιστότοπους που επισκέπτεστε. Αυτή είναι μια χρήσιμη εναλλακτική λύση για άτομα που χρησιμοποιούν VPN για να παρέχουν κάλυψη IP. Σε πολλές χώρες που επιδίδονται σε λογοκρισία στο Διαδίκτυο και ψηφιακή επιτήρηση, χρησιμοποιώντας ένα VPN πιθανώς να σας κάνει στόχους . Αλλά το Private Relay βρίσκεται πίσω από μια συνδρομή iCloud+ και είναι διαθέσιμο μόνο στο Safari. Θα ήταν καλύτερο να ήταν αυτό δωρεάν και να να επεκτεινόταν το Private Relay σε περισσότερα iOS, ειδικά σε εφαρμογές.
Υπάρχουν αποχρώσεις για το γιατί το Private Relay δεν είναι σαν ένα παραδοσιακό VPN. Το “πρώτο βήμα” εκθέτει τη διεύθυνση IP στην Apple και στον πάροχο υπηρεσιών Διαδικτύου σας. Ωστόσο, τα ονόματα ιστοτόπων που ζητήθηκαν δεν είναι ορατά από κανένα από τα μέρη. Η Apple είναι ασαφής με τις λεπτομέρειες σχετικά με το “δεύτερο relay”, δηλώνοντας, «Η δεύτερη αναμετάδοση Διαδικτύου λειτουργεί από τρίτους συνεργάτες που είναι μερικά από τα μεγαλύτερα δίκτυα παράδοσης περιεχομένου (CDN) στον κόσμο». H Cloudflare επιβεβαιώνεται ως τρίτο μέρος και η εξήγησή προχωρά περαιτέρω για να εξηγήσει ότι τα πρότυπα που χρησιμοποιούνται για το Private Relay που είναι τα TLS 1.3, QUIC, και MASQUE.
Ο συνδυασμός των πρωτοκόλλων που χρησιμοποιούνται στο Private Relay θα μπορούσε να χρησιμοποιηθεί στο Android χρησιμοποιώντας την εφαρμογή 1.1.1.1 της Cloudflare. Η οποία θα ήταν η πιο «πλησιέστερη» αντιστοίχιση από τεχνικής άποψης για το Android και θα εφαρμοστεί παγκοσμίως αντί μόνο για το πρόγραμμα περιήγησης. Ένα πιο ευνοϊκό αποτέλεσμα θα ήταν η χρήση αυτής της τεχνολογίας σε κινητά με τρόπο που να μην χρησιμοποιεί μόνο μία εταιρεία για τη διανομή σύγχρονης κρυπτογράφησης. Το Ιδιωτικό DNS του Android επιτρέπει διάφορες επιλογές παρόχων, αλλά αυτό καλύπτει μόνο το κρυπτογραφημένο τμήμα DNS του αιτήματος.
Το VPN είναι ένα άλλο εργαλείο που μπορεί να χρησιμοποιηθεί για την απόκρυψη μιας διεύθυνσης IP και την παράκαμψη της λογοκρισίας, ειδικά σε περιπτώσεις όπου κάποιος δεν εμπιστεύεται τον πάροχο υπηρεσιών διαδικτύου (ISP). Ωστόσο, η χρήση VPN για αυτόν τον μοναδικό σκοπό θα πρέπει να αρχίσει να γίνεται ξεπερασμένη με σύγχρονα πρωτόκολλα κρυπτογράφησης που μπορούν να αναπτυχθούν για την προστασία του χρήστη. Καλύτερες πρακτικές κρυπτογράφησης σε πλατφόρμες κινητής τηλεφωνίας θα μείωναν την ανάγκη να συρρέουν οι άνθρωποι δυνητικά σε κακόβουλες εφαρμογές VPN που θέτουν τον χρήστη σε κίνδυνο. Το Android μόλις ανακοίνωσε ένα νέο πρόγραμμα σημάτων που επιχειρεί να αντιμετωπίσει αυτό το ζήτημα, αναγκάζοντας τα VPN να συμμορφώνονται με τις οδηγίες του Play Store για ασφάλεια και την επικύρωση μεσω της Αξιολόγησης ασφάλειας εφαρμογών για κινητά (MASA) Επίπεδο 2. Αν και αυτή η προσπάθεια είναι αξιοσημείωτη, όταν εφαρμόζεται μαζική λογοκρισία, οι χρήστες ενδέχεται να μην πηγαίνουν πάντα στο πιο αξιόπιστο VPN ή ακόμη και να έχουν πρόσβαση σε αξιόπιστα VPN επειδή η Google και η Apple συμμορφώνονται με τα αιτήμαμα καταργήσων από το κατάστημα εφαρμογών.
Επομένως, η διεύρυνση της κρυπτογράφησης εκτός της χρήσης VPN είναι απαραίτητη. Ο αποκλεισμός αιτημάτων καθαρού κειμένου από εφαρμογές, το να επιτρέπεται στους χρήστες να περιορίσουν την πρόσβαση στο δίκτυο μιας εφαρμογής, και η επέκταση του Private Relay της Apple θα ήταν βήματα προς τη σωστή κατεύθυνση.
Υπάρχουν πολλές άλλες εφαρμογές διαρροής απορρήτου που μπορούν να συμμετάσχουν σε αυτές που παρακαλουθούν αποκαλύπτουν τα δεδομένα χρήσης σας. Στην περίπτωση εφαρμογών που λειτουργούν άσχημα είτε με τη χρήση της δικής τους, μη επαληθευμένης κρυπτογραφίας είτε με χρήση HTTP, οι χρήστες θα πρέπει να μπορούν να αποκλείουν την πρόσβαση δικτύου σε αυτές τις εφαρμογές.
Ακριβώς επειδή το πρόβλημα του απορρήτου των κινητών είναι περίπλοκο, δεν σημαίνει ότι η πολυπλοκότητα πρέπει να σταματήσει τις δυνατότητες που υπάρχουν. Μπορούμε να έχουμε πιο ιδιωτικό Διαδίκτυο στα τηλέφωνά μας. ” Η Κρυπτογράφηση όλων των πραγμάτων” πρέπει να περιλαμβάνει τις συσκευές που χρησιμοποιούμε περισσότερο για πρόσβαση στον Ιστό και για επικοινωνία μεταξύ μας καθημερινά.
Πηγή άρθρου: https://www.eff.org/