陌生人不请自来加入群组?WhatsApp传有安全漏洞
▲WhatsApp 传出有安全漏洞。(图/翻摄 TechCrunch)
两年前,通讯软体 WhatsApp 推出端对端加密技术,将讯息保护的防护网推升至新的高度,在瑞士举行的 Real World Crypto 2018 安全会议上,有德国安全研究人员发现 WhatsApp 这项技术并非如此完美,只要能控制伺服器,就能轻易在私人群组中加入新成员。
研究人员针对通讯软体中对于讯息的防护进行研究,WhatsApp、Signal、Threema 都存在一定的安全缺陷,但相比 WhatsApp 其余两款相对是比较无害的。在没有管理员的许可下,WhatsApp 的漏洞让有心人士可以「不请自来」潜入私密群组中,研究人员 Paul Rösler 向《Wired》说明提到,「私密群组的保密性因此消失,这名新成员能查看所有后续对话,而加密技术自然也毫无意义。」
▲中国现在禁止 WhatsApp 的部分功能。(图/达志影像/美联社)
脸书的首席安全官 Alex Stamos 在个人推特,批评《Wired》下了耸动的标题,并澄清说没有秘密管道可以进入私人群组中。事实上,就如同研究团队所说的前提一样,必须要先能掌握 WhatsApp 的伺服器,但这没有这么容易,《The Verge》网站就认为,想要进入可能只有政府、顶尖骇客以及 WhatsApp 官方人员才有机会。
WhatsApp 发言人在回应《Wired》的信件上也提到,新成员加入群组会跳出通知,因此成员会知道群组讯息不能发送给这些陌生人。若是具有机密的群组,可能也被这被这项机制告知,因为用户肯定会注意到有陌生人在群组中,约翰霍普金斯大学的密码学教授 Matthew Green 提到,「这项检测可能无法解决 WhatsApp 的潜在问题,这就像把银行金库大门打开,但因为摄影机还在所以根本没人敢去偷钱。」
在官方对于端对端加密技术的描述中写道,「只有您跟讯息的接收人可以读取传送内容,没有其他人(包括 WhatsApp)可以读取讯息。」在文字叙述与实际的安全来看,WhatsApp 似乎仍有一些有瑕疵,研究团队也建议 WhatsApp 可以替群组邀请增设新的身分验证机制来解决这个问题,并且让群组只有管理员可以核可成员的加入,避免不请自来的间谍。