Dowody na nowe funkcje Twittera ujawnione przez badacza bezpieczeństwa
Opublikowany: 2022-11-17Badaczka bezpieczeństwa i blogerka zajmująca się inżynierią wsteczną, Jane Manchun Wong, odkryła dowody na to, że Twitter może zakończyć szyfrowanie na Twitterze, a także dwie inne możliwe zmiany, które są dość przydatne.
Upubliczniła te informacje za pośrednictwem serii tweetów, które ujawniły szczegóły nowych funkcji, które wciąż są w fazie rozwoju.
Trywialna, ale użyteczna zmiana
Pierwszą nadchodzącą zmianą jest usunięcie pola źródłowego.
Pole źródłowe to sekcja pod każdym tweetem, która mówi, jakiego rodzaju urządzenie zostało użyte do opublikowania tweeta.
Ta funkcja musi mieć jakiś cel, ale nie jest to od razu widoczne.
Ostatecznie jest to trywialna zmiana, ale prawdopodobnie przydatna, ponieważ zmniejsza bałagan.
Tak. Pole źródłowe zniknęło z widoku szczegółów tweeta w tym prototypie https://t.co/ZTFOnfdXvP pic.twitter.com/KaCOFmKzLE
— Jane Manchun Wong (@wongmjane) 16 listopada 2022 r
Szyfrowanie od końca do końca
Szyfrowanie typu end-to-end (E2EE) to bezpieczny protokół komunikacyjny, który jest całkowicie prywatny, bez dostępu ze strony innych osób niż te, które uczestniczą w przesyłaniu wiadomości.
Generalnie jest to dobry pomysł. Ale są też tacy, którzy zgłaszają uzasadnione obawy dotyczące dodawania E2EE do wiadomości, które niekoniecznie muszą być powiązane z telefonem w taki sam sposób, jak WhatsApp i Telegram.
Jane Manchun Wong odkrywa dowody
Jane Manchun Wong jest wybitnym ekspertem w zakresie inżynierii odwrotnej, z którym przeprowadzono wywiady i profilowano w witrynach takich jak BBC News i MIT Technology Review.
Według profilu BBC na jej temat:
„Odkryła, że Airbnb testuje nową funkcję integracji lotów, która ostrzega gospodarzy na stronie internetowej, gdy samoloty ich gości bezpiecznie wylądują.
I zatrąbiła, gdy Instagram zaczął eksperymentować ze zdjęciami profilowymi w rzeczywistości rozszerzonej”.
MIT Technology Review tak o niej napisał:
„27-letni Wong ma nadprzyrodzoną zdolność łamania trudnego kodu – wraz z pokaźną liczbą obserwujących na Twitterze, wśród których znajdują się jedne z największych nazwisk w dziedzinie technologii i dziennikarstwa.
Gdy dostaje się do zaplecza kodu stron internetowych, aby zobaczyć, nad czym majstrują inżynierowie oprogramowania, z zainteresowaniem czekają na jej odkrycia. “
Badając aplikację Twitter na Androida, odkryła niedawno, że funkcja E2EE może pojawić się w usłudze Direct Messaging (DM) na Twitterze.
Napisała na Twitterze i opublikowała zrzut ekranu z dowodami:
„Twitter przywraca w pełni zaszyfrowane wiadomości prywatne
Widząc oznaki pracy nad tą funkcją w Twitterze dla Androida:”
Twitter przywraca szyfrowane DM od końca do końca
Widząc oznaki prac nad tą funkcją na Twitterze dla Androida: https://t.co/YtOPHH3ntD pic.twitter.com/5VODYt3ChK
— Jane Manchun Wong (@wongmjane) 16 listopada 2022 r
Jane opublikowała również inny dowód:
Wczesny prototyp nadchodzącego kompleksowo zaszyfrowanego ekranu „Klucze szyfrowania” na Twitterze: https://t.co/rcnd7h68lO pic.twitter.com/EMXSlI188j
— Jane Manchun Wong (@wongmjane) 16 listopada 2022 r
Jane zażądała pełnego szyfrowania
9 listopada 2022 roku odpowiedziała na tweeta Elona Muska, który prosił o sugestie dotyczące Twittera.
Na Twitterze napisała:
„Przywróć w pełni zaszyfrowane wiadomości prywatne!”
Przywróć w pełni zaszyfrowane wiadomości na czacie! https://t.co/pBEQro3E4e
— Jane Manchun Wong (@wongmjane) 9 listopada 2022 r
Czy szyfrowanie typu End-to-End na Twitterze to dobry pomysł?
Lea Kissner, była dyrektor ds. bezpieczeństwa informacji na Twitterze, podzieliła się swoimi spostrzeżeniami na temat możliwych pułapek.
Na Twitterze napisała:
„Dla kontekstu: mam doktorat z kryptografii, moja praca magisterska dotyczy protokołów kryptograficznych chroniących prywatność, a publicznie wiadomo, że pracowałem nad kilkoma nowatorskimi systemami E2EE (od Zoom i Google).
Więc: 1) YMMV, bo każdy system jest trochę inny 2) to nie jest moje pierwsze rodeo”
Wśród jej obaw była możliwość nadużyć.
Wyjaśniła w kolejnym tweecie:
„Zauważ, że samo spojrzenie na WhatsApp lub Signal nie daje wystarczającego zrozumienia tego, jakie będą nadużycia w sieci innej niż numer telefonu. Mają * dużo * łatwiejszy czas i nadal nie jest to rozwiązane.
Zwróciła również uwagę na złożoność związaną z wdrażaniem go na wielu urządzeniach:
„5. Wiele urządzeń. Wszystko to staje się bardziej irytujące (choć nadal możliwe do rozwiązania), gdy użytkownicy mają więcej niż jedno urządzenie, *zwłaszcza*, jeśli nie chcesz, aby serwer mógł po prostu chcąc nie chcąc dodawać urządzenia (ponieważ zagraża to bezpieczeństwu).
Ale w końcu potwierdziła, że kompleksowe szyfrowanie jest wykonalne dla Twittera.
Jestem pewien, że o czymś zapomniałem i wszystko to jest wykonalne, ale uwaga:
1) podobnie jak wszystkie systemy kryptograficzne, E2EE jest subtelny i szybko wpada w złość i musi być wykonywany ostrożnie
2) zauważ, że nigdzie na tej liście nie uwzględniłem faktycznej części, która wykonuje czynności szyfrowania/deszyfrowania— Lea Kissner (@LeaKissner) 16 listopada 2022 r
Blokuj nielegalne treści w Korei Południowej
Trzecia funkcja, którą odkryła Jane, jest właściwie dobra, ponieważ pomaga pokonać cyberstalking i publikację nielegalnych filmów przesłanych przez cyberstalkerów i dziwaków.
Na Twitterze napisała:
„Twitter pracuje nad ostrzeżeniem medialnym dla użytkowników w Korei Południowej
„Jeśli prześlesz jakąkolwiek nielegalnie sfilmowaną treść, Twitter może usunąć lub zablokować dostęp do treści, a przesyłający może zostać ukarany”.
Najwyraźniej ma to na celu kwestię nielegalnie kręconych filmów ludzi i cyberstalkingu.
Twitter pracuje nad ostrzeżeniem medialnym dla użytkowników w Korei Południowej
„Jeśli prześlesz jakąkolwiek nielegalnie sfilmowaną treść, Twitter może usunąć lub zablokować dostęp do treści, a przesyłający może zostać ukarany”. pic.twitter.com/GUW1XGIaPY
— Jane Manchun Wong (@wongmjane) 16 listopada 2022 r
Jest to w rzeczywistości bardzo przydatna funkcja, która, miejmy nadzieję, pomoże w walce z filmami z kamer szpiegowskich i podobnymi mediami, które zostały zrobione bez wiedzy lub zgody osoby.
Czy funkcje rzeczywiście się pojawią?
Wygląda na to, że zespół Twittera może aktywnie pracować nad tymi przydatnymi funkcjami. Ciekawie będzie zobaczyć, jak szybko mogą to wdrożyć przy zmniejszonej sile roboczej.
Wyróżniony obraz autorstwa Shutterstock/RealPeopleStudio