L’investigadora de seguretat i blogger d’enginyeria inversa Jane Manchun Wong va descobrir proves que Twitter podria estar aportant el xifrat d’extrem a extrem a Twitter, a més de dos possibles canvis més que són bastant útils.
Va fer pública la informació mitjançant una sèrie de tuits que van filtrar detalls de les noves funcions encara en desenvolupament.
Canvi trivial però útil
El primer canvi que ve és l’eliminació del camp d’origen.
El camp font és la secció que hi ha a sota de cada tuit que indica quin tipus de dispositiu s’ha utilitzat per publicar el tuit.
Hi ha d’haver un propòsit per a aquesta funció, però no és immediatament evident.
En última instància, aquest és un canvi trivial, però probablement útil perquè redueix el desordre.
Sí. El camp d’origen ha desaparegut de la vista de detalls del tuit en aquest prototip https://t.co/ZTFOnfdXvP pic.twitter.com/KaCOFmKzLE
— Jane Manchun Wong (@wongmjane) 16 de novembre de 2022
Encriptació d’extrem a extrem
El xifratge d’extrem a extrem (E2EE) és un protocol de comunicació segur que és completament privat, sense accés per part de cap altra part que no sigui els que participen en la missatgeria.
En general, aquesta és una bona idea. Però també hi ha alguns que plantegen preocupacions legítimes sobre afegir E2EE als missatges que no necessàriament estan lligats a un telèfon de la mateixa manera que WhatsApp i Telegram.
Jane Manchun Wong descobreix proves
Jane Manchun Wong és una notable experta en enginyeria inversa que ha estat entrevistada i perfilada en llocs com Notícies de la BBC i MIT Technology Review.
Segons el perfil de la BBC sobre ella:
“Va descobrir que Airbnb estava provant una nova funció d’integració de vols que alertava els amfitrions del lloc web quan els avions dels seus hostes aterraven amb seguretat.
I va fer sonar la botzina quan Instagram va començar a experimentar amb imatges de perfil de realitat augmentada”.
MIT Technology Review va escriure això sobre ella:
“Wong, de 27 anys, té una capacitat sobrenatural per trencar codis difícils, juntament amb un nombre important de seguidors de Twitter que inclou alguns dels noms més importants de la tecnologia i el periodisme.
A mesura que entra a la part posterior del codi dels llocs web per veure què estan jugant els enginyers de programari, esperen els seus descobriments amb interès. “
Explorant l’aplicació per a Android de Twitter, va descobrir recentment que la funció E2EE podria arribar al servei de missatgeria directa (DM) de Twitter.
Va tuitejar i va publicar una captura de pantalla de l’evidència:
“Twitter està recuperant els missatges directes xifrats d’extrem a extrem
Veient signes de la funció que s’està treballant a Twitter per a Android: “
Twitter torna a portar missatges directes xifrats d’extrem a extrem
Veient signes de la funció en què s’està treballant a Twitter per a Android: https://t.co/YtOPHH3ntD pic.twitter.com/5VODYt3ChK
— Jane Manchun Wong (@wongmjane) 16 de novembre de 2022
Jane també va publicar una altra prova:
Prototip inicial de la pantalla “Claus de xifratge” de missatges directes xifrats d’extrem a extrem de Twitter: https://t.co/rcnd7h68lO pic.twitter.com/EMXSlI188j
— Jane Manchun Wong (@wongmjane) 16 de novembre de 2022
La Jane va sol·licitar un xifratge d’extrem a extrem
El 9 de novembre de 2022, va respondre a un tuit d’Elon Musk que demanava suggeriments per a Twitter.
Ella va piular:
“Resuscita els DM xifrats d’extrem a extrem!”
Reviu els missatges directes xifrats d’extrem a extrem! https://t.co/pBEQro3E4e
— Jane Manchun Wong (@wongmjane) 9 de novembre de 2022
El xifratge d’extrem a extrem de Twitter DM és una bona idea?
Lea Kissner, l’antiga responsable de seguretat de la informació de Twitter, va compartir les seves observacions sobre possibles esculls.
Ella va piular:
“Per contextualitzar: tinc un doctorat en criptografia, la meva tesi és sobre protocols criptogràfics que preserven la privadesa i se sap públicament que he treballat en diversos sistemes E2EE nous (de Zoom i Google).
Així doncs: 1) YMMV perquè cada sistema és una mica diferent 2) aquest no és el meu primer rodeo”
Entre les seves preocupacions hi havia la possibilitat d’abús.
Va explicar en un seguiment tuit:
“Tingueu en compte que només mirar WhatsApp o Signal no us permet entendre prou com serà l’abús en una xarxa no basada en números de telèfon. Ho tenen *molt* més fàcil i encara no s’ha resolt”.
També va assenyalar la complexitat que comporta quan es desplega a diversos dispositius:
“5. Múltiples dispositius. Tot això es torna més molest (tot i que encara és manejable) quan els usuaris tenen més d’un dispositiu, *especialment* si no voleu que el servidor pugui afegir dispositius sense voler (perquè això compromet la seguretat).
Però al final va afirmar que el xifratge d’extrem a extrem és factible per a Twitter.
Estic segur que estic oblidant alguna cosa i tot això és factible, però tingueu en compte:
1) com tots els sistemes criptogràfics, E2EE és subtil i ràpid d’enfadar i s’ha de fer amb cura
2) tingueu en compte que en cap part d’aquesta llista he inclòs la part real que fa les coses de xifratge/desxifrat— Lea Kissner (@LeaKissner) 16 de novembre de 2022
Bloqueig de contingut il·legal a Corea del Sud
La tercera funció que va descobrir la Jane és realment bona perquè funciona per derrotar el ciberassetjament i la publicació de vídeos il·legals penjats per ciberassetjadors i creeps.
Ella va piular:
“Twitter està treballant en una advertència mediàtica per als usuaris de Corea del Sud
“Si penges qualsevol contingut filmat il·legalment, Twitter pot suprimir o bloquejar l’accés al contingut i l’usuari pot ser sancionat”.
Pel que sembla, això està dirigit al tema dels vídeos filmats il·legalment de persones i el ciberassetjament.
Twitter està treballant en una advertència mediàtica per als usuaris de Corea del Sud
“Si penges qualsevol Contingut filmat il·legalment, Twitter pot suprimir o bloquejar l’accés al contingut i l’usuari pot ser sancionat”. pic.twitter.com/GUW1XGIaPY
— Jane Manchun Wong (@wongmjane) 16 de novembre de 2022
En realitat, aquesta és una característica molt útil que esperem ajudarà a combatre els vídeos de càmeres espia i mitjans similars que s’han fet sense el coneixement o l’acord d’una persona.
Les funcions es desplegaran realment?
Sembla que l’equip de Twitter pot estar treballant activament en aquestes funcions útils. Serà interessant veure amb quina rapidesa ho poden implementar amb la força de treball reduïda.
Imatge destacada de Shutterstock/RealPeopleStudio
![Tendències SERP i dades de paraules clau principals per sector [Webinar]](https://i0.wp.com/serveistic.net/wp-content/uploads/2022/04/Tendencies-SERP-i-dades-de-paraules-clau-principals-per-sector.jpg?resize=270%2C270&ssl=1 "Tendències SERP i dades de paraules clau principals per sector [Webinar]")
