محقق امنیت و وبلاگ نویس مهندسی معکوس، جین مانچون وانگ، شواهدی را کشف کرد که نشان میدهد توییتر ممکن است رمزگذاری پایان به آخر را در توییتر بیاورد، به علاوه دو تغییر احتمالی دیگر که نسبتاً مفید هستند.
او اطلاعات را از طریق مجموعهای از توییتها به اطلاع عموم رساند که جزئیات ویژگیهای جدید را که هنوز در دست توسعه هستند فاش کرد..
تغییر بی اهمیت اما مفید
اولین تغییری که در راه است حذف قسمت منبع است.
فیلد منبع بخشی در زیر هر توییت است که نشان می دهد از چه نوع دستگاهی برای ارسال توییت استفاده شده است.
این ویژگی باید هدفی داشته باشد اما فوراً مشخص نیست.
در نهایت این یک تغییر بی اهمیت است اما احتمالاً از این جهت مفید است که درهم و برهمی را کاهش می دهد.
بله. فیلد منبع از نمای جزئیات توییت در این نمونه اولیه حذف شده است https://t.co/ZTFOnfdXvP pic.twitter.com/KaCOFmKzLE
— جین منچون وانگ (@wongmjane) 16 نوامبر، ۲۰۲۲
End to End Encryption
End-to-End Encryption (E2EE) یک پروتکل ارتباطی امن است که کاملاً خصوصی است و هیچ شخص دیگری غیر از کسانی که در پیامرسانی شرکت میکنند، دسترسی صفر دارد.
به طور کلی این ایده خوبی است. اما برخی نیز وجود دارند که نگرانیهای موجهی را در مورد افزودن E2EE به پیامرسانی مطرح میکنند که ممکن است لزوماً مانند واتساپ و تلگرام به تلفن متصل نباشد.
جین مانچون وونگ شواهدی را کشف میکند
جین مانچون وانگ یک متخصص برجسته مهندسی معکوس است که در سایتهایی مانند بی بی سی نیوز و بررسی فناوری MIT.
طبق نمایه بی بی سی در او:
«او متوجه شد که Airbnb در حال آزمایش یک ویژگی جدید یکپارچه سازی پرواز است که به میزبانان در وب سایت هشدار می دهد که هواپیماهای مهمانانشان به سلامت فرود بیایند.
و زمانی که اینستاگرام شروع به آزمایش تصاویر نمایه واقعیت افزوده کرد، او بوق زد.”
MIT Technology Review در مورد او چنین نوشت:
“وونگ، ۲۷ ساله، توانایی غیر طبیعی در شکستن کدهای دشوار را دارد—همراه با فالوورهای قابل توجهی در توییتر که شامل برخی از بزرگترین نام های فناوری و روزنامه نگاری است.
از آنجایی که او وارد قسمت پشتی کد وبسایتها میشود تا ببیند مهندسان نرمافزار در حال دستکاری هستند، آنها با علاقه منتظر اکتشافات او هستند. “
او با کاوش در برنامه اندروید توییتر متوجه شد که ویژگی E2EE ممکن است به سرویس پیامرسانی مستقیم توییتر (DM) بیاید.
او توئیت کرد و تصویری از شواهد را پست کرد:
«تویتر DM های رمزگذاری شده سرتاسر را برمی گرداند
مشاهده نشانههایی از کار بر روی این ویژگی در Twitter برای Android:”
تویتر DM های رمزگذاری شده سرتاسر را برمی گرداند
مشاهده نشانههایی از کارکردن این ویژگی در Twitter برای Android: https://t.co/ YtOPHH3ntD pic.twitter.com/5VODYt3ChK
— جین منچون ونگ (@wongmjane) 16 نوامبر، ۲۰۲۲
جین همچنین مدرک دیگری را پست کرد:
نمونه اولیه از صفحه “کلیدهای رمزگذاری” DM های رمزگذاری شده سرتاسر آینده توییتر: https://t.co/rcnd7h68lO pic.twitter. com/EMXSlI188j
— جین منچون وانگ (@wongmjane) 16 نوامبر، ۲۰۲۲
جین درخواست رمزگذاری End to End را کرد
در ۹ نوامبر ۲۰۲۲، او به توییت ایلان ماسک که در حال درخواست پیشنهاداتی برای توییتر بود، پاسخ داد.
او توئیت کرد:
«دیامهای رمزگذاریشده سرتاسر را احیا کنید!»
دیامهای رمزگذاری شده سرتاسر را احیا کنید! https://t.co/pBEQro3E4e
— جین منچون وانگ (@wongmjane) 9 نوامبر، ۲۰۲۲
آیا رمزگذاری پایان به پایان DM Twitter ایده خوبی است؟
لی کیسنر، رئیس سابق امنیت اطلاعات توییتر، مشاهدات خود را در مورد مشکلات احتمالی به اشتراک گذاشت.
او توئیت کرد:
“برای زمینه: من دکترای رمزنگاری دارم، پایان نامه من در مورد پروتکل های رمزنگاری حفظ حریم خصوصی است، و به طور عمومی شناخته شده ام که روی چندین سیستم جدید E2EE (از Zoom و Google) کار کرده ام.
بنابراین: ۱) YMMV زیرا هر سیستم کمی متفاوت است ۲) این اولین بازی من نیست”
از جمله نگرانی های او احتمال سوء استفاده بود.
او در ادامه توئیت توضیح داد:
“توجه داشته باشید که فقط نگاه کردن به WhatsApp یا Signal به شما درک کافی درباره نحوه سوء استفاده در یک شبکه غیر مبتنی بر شماره تلفن نمی دهد. آنها زمان *بسیار* آسان تری دارند و هنوز هم حل نشده است.”
او همچنین به پیچیدگی موجود هنگام عرضه آن در چندین دستگاه اشاره کرد:
«۵. دستگاه های متعدد وقتی کاربران بیش از یک دستگاه دارند، همه اینها آزاردهندهتر میشوند (اگرچه هنوز هم قابل کنترل هستند)، *بهخصوص* اگر نمیخواهید سرور بتواند خواه ناخواه دستگاهها را اضافه کند (زیرا امنیت را به خطر میاندازد).»
اما در پایان او تأیید کرد که رمزگذاری انتها به انتها برای توییتر قابل انجام است.
مطمئنم که چیزی را فراموش می کنم و همه اینها قابل انجام است، اما توجه داشته باشید:
۱) مانند همه سیستم های رمزنگاری E2EE ظریف است و سریع عصبانی می شود و باید با دقت انجام شود
۲) توجه داشته باشید که در هیچ کجای این لیست قسمت واقعی که کار رمزگذاری/رمزگشایی را انجام می دهد را وارد نکرده ام— لی کیسنر (@LeaKissner) 12، ۲۰ نوامبر
مسدود کردن محتوای غیرقانونی در کره جنوبی
سومین ویژگی که جین کشف کرد در واقع یک ویژگی خوب است زیرا برای شکست دادن سایبری و انتشار ویدیوهای غیرقانونی آپلود شده توسط سایبری و خزندگان کار می کند.
او توییت کرد:
“تویتر در حال کار بر روی یک هشدار رسانه ای برای کاربران در کره جنوبی است
“اگر محتوای فیلمبرداری غیرقانونی را آپلود کنید، توییتر ممکن است دسترسی به محتوا را حذف یا مسدود کند و آپلود کننده ممکن است تحریم شود.”
ظاهراً هدف این موضوع فیلمهای غیرقانونی فیلمبرداری شده از افراد و تعقیب سایبری است.
تویتر در حال کار بر روی یک هشدار رسانه ای برای کاربران در کره جنوبی است
“اگر محتوای فیلمبرداری شده غیرقانونی را آپلود کنید، توییتر ممکن است دسترسی به محتوا را حذف یا مسدود کند و آپلودکننده تحریم شود.” pic.twitter.com/GUW1XGIaPY
— جین منچون ونگ (@wongmjane) 16 نوامبر، ۲۰۲۲
این در واقع یک ویژگی بسیار مفید است که امیدواریم به مبارزه با ویدئوهای دوربین جاسوسی و رسانههای مشابهی که بدون اطلاع یا موافقت شخص گرفته شدهاند کمک کند.
آیا ویژگیها واقعاً عرضه میشوند؟
به نظر میرسد که تیم توییتر ممکن است فعالانه روی این ویژگیهای مفید کار کند. جالب است که ببینیم با کاهش نیروی کار با چه سرعتی می توانند آن را راه اندازی کنند.
تصویر ویژه توسط Shutterstock/RealPeopleStudio