ЦПС Великобритании предложил обязать защищенные сервисы незаметно добавлять невидимых пользователей в разговоры и чаты.
Как ранее сообщал SecurityLab, на прошлой неделе в сервисе для общения FaceTime была обнаружена уязвимость, позволяющая просматривать видео и прослушивать звук с устройства собеседника до того, как он ответит на звонок. Компания Apple временно отключила функцию Group FaceTime в своей платформе и сейчас работает над исправлением уязвимости.
В то время, как правозащитники видят в сложившейся ситуации нарушение конфиденциальности данных пользователей (против Apple уже было подано несколько судебных исков в связи с вероятной утечкой данных), для спецслужб такая уязвимость стала бы настоящим подарком.
По данным Американского союза защиты гражданских свобод (ACLU), Центр правительственной связи Великобритании (ЦПС) предложил обязать защищенные платформы для общения обеспечивать спецслужбам возможность создавать третьего, невидимого участника разговора. Предложение ЦПС получило название Ghost Proposal.
Инициатива, авторами которой являются чиновники ЦПС Иэн Леви (Ian Levy) и Криспин Робинсон (Crispin Robinson), узаконивает создание так называемого «интерфейса недоверенного пользователя». Другими совами, в случае вступления предложения в силу сервисы будут обязаны по закону обеспечивать спецслужбам возможность для слежки за пользователями.
«Сервисы сравнительно легко могут незаметно добавить в групповой чат или звонок участника из правоохранительных органов. Как правило, сервисы контролируют систему идентификации и сами решают, кто и какое устройство участвует в разговоре», - считают авторы инициативы. Это значит, что сервисам придется блокировать уведомления о добавлении еще одного участника в чат.
По мнению авторов Ghost Proposal, таким образом спецслужбы смогут перехватывать звонки и сообщения в защищенных сервисах без необходимости трогать шифрование. Однако эксперты ACLU считают предложение сложно реализуемым и опасным.
«Спроектировать ПО должным образом и без того сложно, а разработать его с предумышленными уязвимостями, пусть и ограниченными, еще сложнее. Механизм для умышленного создания недоверенного интерфейса станет привлекательной целью для хакеров и других преступников. Кто тогда будет нести ответственность за его использование в преступных целях?», - отметили в ACLU.