211service.com
Gebruikersfout compromitteert veel gecodeerde communicatie-apps
Volgens recent onderzoek worden smartphone-apps en speciale telefoons die een veilige communicatie willen garanderen, vaak door de gebruikers zelf in gevaar gebracht.
De apps, waaronder RedPhone en Signal, kunnen mensen die elkaar bellen of sms'en vragen om een korte reeks woorden die ze op hun scherm zien verbaal te vergelijken (vaak een checksum of korte authenticatiereeks genoemd) om er zeker van te zijn dat een nieuwe communicatiesessie heeft plaatsgevonden. niet is geschonden door een indringer. Het idee is dat als de beveiliging van een gesprek in het gedrang komt, deze woorden niet overeenkomen.
Om te testen hoe goed dit werkt, hebben onderzoekers van de University of Alabama in Birmingham een studie opgezet die een cryptofoon-app nabootste. Onderzoekers lieten deelnemers een webbrowser gebruiken om naar een online server te bellen. Daarna luisterden ze naar een willekeurige reeks van twee of vier woorden en bepaalden of deze overeenkwam met de woorden die ze op het computerscherm voor hen zagen. De deelnemers werd ook gevraagd om te verifiëren of de stem die ze hoorden dezelfde was als de stem die ze eerder hadden gehoord bij het lezen van een kort verhaal.
De onderzoekers ontdekten dat deelnemers aan de studie vaak oproepen accepteerden, zelfs als ze de verkeerde reeks woorden hoorden, en oproepen vaak weigerden als de reeks correct werd uitgesproken. Verder zeggen onderzoekers dat het gebruik van een vier-woorden-checksum in plaats van een twee-woorden-checksum de beveiliging leek te verminderen, hoewel een langere checksum de beveiliging exponentieel zou verhogen.
De onderzoekers presenteerden hun werk deze maand in een paper op a computerbeveiligingsconferentie in Los Angeles.
De studie omvatte 128 mensen, en Maliheh Shirvanian , de hoofdauteur van het artikel en een afgestudeerde student aan de Universiteit van Alabama in Birmingham, zegt dat deelnemers 30 procent van de tijd een onjuiste reeks van twee woorden accepteerden als deze afkomstig was van een stem die naar behoren was geverifieerd als een stem die ze eerder hadden gehoord. Ze verwierpen ook reeksen van twee woorden die ongeveer 22 procent van de tijd correct werden uitgesproken.
Bovendien merkten de onderzoekers dat deelnemers vierwoordreeksen accepteerden die ongeveer 40 procent van de tijd onjuist waren, en verwierpen degenen die 25 procent van de tijd correct waren.
Justin Troutman , een cryptograaf die werkt bij de versleutelde zoekstart-up Kryptnostic en zijn werk heeft gericht op het snijvlak van cryptografie en gebruikerservaring, zegt dat een van de redenen waarom mensen onjuiste controlesommen accepteren, is dat ze uit willekeurige woorden bestaan, in plaats van een reeks die je zou zien in een zin. Gebruikers kunnen een beetje uitvallen als ze ze horen, vooral als ze de stem van de spreker aan de andere kant herkennen. Met een groter aantal woorden kunnen ze die in het midden uitschakelen, voegt hij eraan toe.
In de hoop de beveiliging te verbeteren, werken de onderzoekers nu aan een nieuwe studie waarin wordt bekeken hoe software kan worden gebruikt om checksums te vergelijken, met name langere, aan het begin van een beveiligd gesprek. Zoals de onderzoekers zich voorstellen, zouden de deelnemers aan een gesprek hun woorden hardop uitspreken. Dan zou software de woorden transcriberen en de twee transcripties vergelijken. Op deze manier zouden de gebruikers gewoon valideren dat de stem aan de andere kant bekend klinkt, ervan uitgaande dat ze al weten hoe de persoon met wie ze praten klinkt (wat natuurlijk niet altijd het geval zal zijn).