陌生人不請自來加入羣組?WhatsApp傳有安全漏洞

▲WhatsApp 傳出有安全漏洞。(圖/翻攝 TechCrunch)

實習記者黃肇祥綜合報導

兩年前,通訊軟體 WhatsApp 推出端對端加密技術,將訊息保護的防護網推升至新的高度,在瑞士舉行的 Real World Crypto 2018 安全會議上,有德國安全研究人員發現 WhatsApp 這項技術並非如此完美,只要能控制伺服器,就能輕易在私人羣組中加入新成員

研究人員針對通訊軟體中對於訊息的防護進行研究,WhatsApp、Signal、Threema 都存在一定的安全缺陷,但相比 WhatsApp 其餘兩款相對是比較無害的。在沒有管理員許可下,WhatsApp 的漏洞讓有心人士可以「不請自來」潛入私密羣組中,研究人員 Paul Rösler 向《Wired》說明提到,「私密羣組的保密性因此消失,這名新成員能查看所有後續對話,而加密技術自然也毫無意義。」

中國現在禁止 WhatsApp 的部分功能。(圖/達志影像美聯社

臉書首席安全官 Alex Stamos 在個人推特,批評《Wired》下了聳動的標題,並澄清說沒有秘密管道可以進入私人羣組中。事實上,就如同研究團隊所說的前提一樣,必須要先能掌握 WhatsApp 的伺服器,但這沒有這麼容易,《The Verge》網站就認爲,想要進入可能只有政府頂尖駭客以及 WhatsApp 官方人員纔有機會

WhatsApp 發言人在迴應《Wired》的信件上也提到,新成員加入羣組會跳出通知,因此成員會知道羣組訊息不能發送給這些陌生人。若是具有機密的羣組,可能也被這被這項機制告知,因爲用戶肯定會注意到有陌生人在羣組中,約翰霍普金斯大學密碼學教授 Matthew Green 提到,「這項檢測可能無法解決 WhatsApp 的潛在問題,這就像把銀行金庫大門打開,但因爲攝影機還在所以根本沒人敢去偷錢。」

在官方對於端對端加密技術的描述中寫道,「只有您跟訊息的接收人可以讀取傳送內容,沒有其他人(包括 WhatsApp)可以讀取訊息。」在文字敘述與實際的安全來看,WhatsApp 似乎仍有一些有瑕疵,研究團隊也建議 WhatsApp 可以替羣組邀請增設新的身分驗證機制來解決這個問題,並且讓羣組只有管理員可以核可成員的加入,避免不請自來的間諜