原标题:究竟是漏洞还是后门?WhatsApp加解密设计爆监听疑云
图片来源:安全专家指出WhatsApp中一项设计,可能让用户通讯内容被骇客或政府单位等第三方人士监听。不过这个说法遭到WhatsApp的技术合作厂商否认。?密码专家暨加州大学教授Tobias Boelter去年即已揭露WhatsApp这项「漏洞」,不过直到上周Guardian报导后才引起广泛注意。?为确保讯息传输安全,WhatsApp运用Open Whisper System开发出的Signal 协定作为加密金钥的交换与验证,以防讯息遭到中间人拦截,不过WhatsApp还多加了一道不为人知的程序;它会在通讯双方不知情下重新产生另一把加密金钥给离线使用者,而且会在讯息被标示为未送出时,迫使发送方以新的金钥加密讯息。然而这个过程收讯人并不知情,而且发送方只有当初设定启动通知,以及讯息重新送出后才会被通知。这个重新加密、重传讯息的神祕过程可使骇客或是其他第三人士得以拦截、窃听用户通讯内容。?Guardian报导,Signal加密通讯app虽然使用同样的协定,但在讯息未送出时并不会重传,而且也会通知发送方,因而并没有这样的疑虑。?研究人员去年4月即已通知WhatsApp母公司脸书,但迄今这个漏洞仍然未修补。Boelter于是质疑这个「漏洞」纯粹是程式撰写上的失误、或根本是刻意留在应用程式中的「后门」,以便脸书或政府、情报机关可以蒐集特定讯息。?Guardian报导刊出之后, Open Whisper Systems驳斥漏洞的指控,表示这其实是一项因应收讯方换手机或重新安装WhatsApp避免无法收讯而做的功能设计。?该公司解释,平常状态下,收讯方离线期间内若有加密讯息传送给他,会在他重新上线时获得解密。然而在更换新装置或重新安装应用程式后,加解密金钥的验证过程就无法完成,使收讯方接不到讯息。WhatsApp的设计就是为了解决这个问题,发文方重新加密讯息,用收讯方新的金钥解密,而此时,发文方也会获得WhatsApp对方安全码已经变更的通知。
Open Whisper表示,只要发文方的WhatsApp显示两个勾号就表示讯息已经成功送出,不会再重传,这是为了避免有入侵WhatsApp伺服器的人可以选择性拦截这些讯息。而如果有人想拦截讯息,发文方也会获得通知,如同Signal、PGP或任何端对端加密的通讯系统一样。?至于何以WhatsApp不在对方新金钥变更时要求发文方手动验证同意,而是自动同意,该公司表示是因为考虑到WhatsApp用户数量庞大而选择自动同意的验证方式,因为一旦在未获同意前封锁讯息传送,反而增加被中间人拦截的风险。
?
相关:
当前,中国建造的第一艘国产航母001A已经下水喷涂,未来的建造将进一步“提速”,向国人展示日新月异的变化。中国航母建造有时间表,未来还可能开工第二艘国产航母,在2020年后还可能开始建造第三艘,到时候可能是常
曲高和寡的设计师品牌迅速进入大众眼线的背后
说到独立设计师品牌界的超爆款,大家应该就会想到那件带着翅膀的卫衣。随着《欢乐颂》的热播,为角色曲筱绡设计的多套服饰的设计师姜悦音也火了一把……原本
印度古茶拉底省一名14岁男孩设计出一架可帮助侦察和扫除战场地雷的无人机,政府最近与他签署5000万卢比合约,探索无人机商业化可能性。根据社交网络“LinkedIn”查到的资料,住在古茶拉底省阿默达巴德市的男孩札拉今
中原大学商业设计系硕士班学生为了协助推展地区观光,在课程老师黄文宗教授带领下,发挥年轻人的创意与设计专业,针对彰化县的“天空步道”、八卦山、彰化车站等景点,设计出融合当地文化与设计美感的文创观光地图、
台湾证券交易所推出定期定额买台股或指数股票型基金,盼为市场带来新活水,但券商直指,新制度有漏洞,恐成为大股东出货管道。券商表示,依照规定,券商可以“经纪业务”或“财富管理业务”两种方式办理定期定额买台