当前位置: > >究竟是漏洞还是后门?WhatsApp加解密设计爆监听疑云

究竟是漏洞还是后门?WhatsApp加解密设计爆监听疑云

03-18,IT资讯究竟是漏洞还是后门?WhatsApp加解密设计爆监听疑云最新消息报导,口袋科技网(http://www.kotoo.com)IT资讯
图片来源: 

WhatsApp

安全专家指出WhatsApp中一项设计,可能让用户通讯内容被骇客或政府单位等第三方人士监听。不过这个说法遭到WhatsApp的技术合作厂商否认。
?
密码专家暨加州大学教授Tobias Boelter去年即已揭露WhatsApp这项「漏洞」,不过直到上周Guardian报导后才引起广泛注意。
?
为确保讯息传输安全,WhatsApp运用Open Whisper System开发出的Signal 协定作为加密金钥的交换与验证,以防讯息遭到中间人拦截,不过WhatsApp还多加了一道不为人知的程序;它会在通讯双方不知情下重新产生另一把加密金钥给离线使用者,而且会在讯息被标示为未送出时,迫使发送方以新的金钥加密讯息。然而这个过程收讯人并不知情,而且发送方只有当初设定启动通知,以及讯息重新送出后才会被通知。这个重新加密、重传讯息的神祕过程可使骇客或是其他第三人士得以拦截、窃听用户通讯内容。
?
Guardian报导,Signal加密通讯app虽然使用同样的协定,但在讯息未送出时并不会重传,而且也会通知发送方,因而并没有这样的疑虑。
?
研究人员去年4月即已通知WhatsApp母公司脸书,但迄今这个漏洞仍然未修补。Boelter于是质疑这个「漏洞」纯粹是程式撰写上的失误、或根本是刻意留在应用程式中的「后门」,以便脸书或政府、情报机关可以蒐集特定讯息。
?
Guardian报导刊出之后, Open Whisper Systems驳斥漏洞的指控,表示这其实是一项因应收讯方换手机或重新安装WhatsApp避免无法收讯而做的功能设计。
?
该公司解释,平常状态下,收讯方离线期间内若有加密讯息传送给他,会在他重新上线时获得解密。然而在更换新装置或重新安装应用程式后,加解密金钥的验证过程就无法完成,使收讯方接不到讯息。WhatsApp的设计就是为了解决这个问题,发文方重新加密讯息,用收讯方新的金钥解密,而此时,发文方也会获得WhatsApp对方安全码已经变更的通知。

Open Whisper表示,只要发文方的WhatsApp显示两个勾号就表示讯息已经成功送出,不会再重传,这是为了避免有入侵WhatsApp伺服器的人可以选择性拦截这些讯息。而如果有人想拦截讯息,发文方也会获得通知,如同Signal、PGP或任何端对端加密的通讯系统一样。
?
至于何以WhatsApp不在对方新金钥变更时要求发文方手动验证同意,而是自动同意,该公司表示是因为考虑到WhatsApp用户数量庞大而选择自动同意的验证方式,因为一旦在未获同意前封锁讯息传送,反而增加被中间人拦截的风险。

?

声明:

·凡注明为其他媒体来源的信息,均为转载自其他媒体,转载并不代表本网赞同其观点,也不代表本网对其真实性负责。如系原创文章,转载请注明出处。

·您若对该稿件内容有任何疑问或质疑,请即联系,本网将迅速给您回应并做处理。

邮箱:mail@kotoo.com

+1 已赞
已有8人赞过
上一篇:没有了 下一篇:没有了
评论13

发表评论请 登录
  • 最新
  • 最热
评论举报

请选择举报理由

17 13

已收藏
去我的收藏夹 >

已取消收藏
去我的收藏夹 >