211service.com
Användarfel äventyrar många krypterade kommunikationsappar
Smartphone-appar och speciella telefoner som syftar till att säkerställa säker kommunikation kan ofta upptäcka att deras säkerhet äventyras av användarna själva, enligt ny forskning.
Apparna, som inkluderar RedPhone och Signal, kan be personer som ringer eller sms:ar varandra att verbalt jämföra en kort sträng med ord de ser på sina skärmar (ofta kallad kontrollsumma eller kort autentiseringssträng) för att se till att en ny kommunikationssession har inte blivit bruten av en inkräktare. Tanken är att om ett samtals säkerhet äventyras kommer dessa ord inte att matcha.
För att testa hur bra detta fungerar, satte forskare vid University of Alabama i Birmingham upp en studie som efterliknade en kryptofonapp. Forskare lät deltagarna använda en webbläsare för att ringa till en onlineserver. Sedan lyssnade de på en slumpmässig två- eller fyraordssekvens och bestämde om den matchade orden de såg på datorskärmen framför dem. Deltagarna ombads också att verifiera om rösten de hörde var densamma som den de hade hört tidigare när de läst en novell.
Forskarna fann att studiedeltagare ofta accepterade samtal även om de hörde fel ordföljd, och ofta nekade samtal när sekvensen talades upp korrekt. Utöver det säger forskare att användningen av en kontrollsumma på fyra ord istället för en kontrollsumma på två ord verkade minska säkerheten, även om en längre kontrollsumma borde öka säkerheten exponentiellt.
Forskarna presenterade sitt arbete i en uppsats denna månad på a datorsäkerhetskonferens i Los Angeles.
Studien omfattade 128 personer, och Maliheh Shirvanian , tidningens huvudförfattare och doktorand vid University of Alabama i Birmingham, säger att deltagarna accepterade en felaktig tvåordssträng 30 procent av gångerna om den kom från en röst som korrekt verifierats som en röst de hade hört tidigare. De avvisade också tvåordssträngar som talades korrekt cirka 22 procent av gångerna.
Dessutom märkte forskarna att deltagarna accepterade fyra ordssträngar som var felaktiga cirka 40 procent av gångerna och avvisade de som var korrekta 25 procent av gångerna.
Justin Troutman , en kryptograf som arbetar på startupen Kryptnostic för krypterad sökning och har fokuserat sitt arbete på skärningspunkten mellan kryptografi och användarupplevelse, säger att en anledning till att människor kan acceptera felaktiga kontrollsummor är att de består av slumpmässiga ord, snarare än en sekvens du skulle se i en mening. Användare kan tunna ut lite när de hör dem, särskilt om de känner igen talarens röst i andra änden. Med ett högre antal ord kan de stämma av dem i mitten, tillägger han.
I hopp om att förbättra säkerheten säger forskarna att de nu arbetar med en ny studie som överväger hur man använder programvara för att jämföra kontrollsummor, särskilt längre sådana, i början av ett säkert samtal. Som forskarna föreställer sig det skulle deltagarna i ett samtal säga sina ord högt. Sedan skulle programvaran transkribera orden och jämföra de två transkriptionerna. På så sätt skulle användarna helt enkelt validera att rösten i andra änden låter bekant, förutsatt att de redan vet hur personen de pratar med låter som (vilket naturligtvis inte alltid kommer att vara fallet).