就在WhatsApp因假新聞事件被印度政府盯上的時(shí)候,以色列資安業(yè)者Check Point在本周踢爆WhatsApp含有可竄改通訊內(nèi)容的安全漏洞。
WhatsApp為一跨平臺(tái)且強(qiáng)調(diào)端對(duì)端加密的免費(fèi)通訊程式,在2014年被臉書(Facebook)以190億美元收購(gòu)。目前WhatsApp在全球擁有超過(guò)15億的用戶,是全球最受歡迎的通訊程式,其中有2億用戶位於印度。
Check Point說(shuō)明,WhatsApp的加密機(jī)制只允許接收端看到傳送端的信息,就算是WhatsApp都無(wú)法檢視用戶信息,Check Point研究人員則以逆向工程探索WhatsApp的演算法,并於本地端解密了WhatsApp的網(wǎng)絡(luò)請(qǐng)求以判斷該程式的運(yùn)作方式。
Check Point示范影片,如何在WhatsApp上制造假消息:
- 研究人員發(fā)現(xiàn)了WhatsApp傳遞信息時(shí)所使用的參數(shù),并藉由變更這些參數(shù)來(lái)試探可能的攻擊行為,顯示出他們得以在群組中使用「引用」(quote)功能時(shí)變更寄送者的身分,也能竄改別人所回覆的文字,或者傳送一個(gè)看起來(lái)像是公開信息的私人信息予群組用戶。不過(guò),上述攻擊都必須要在駭客身處對(duì)話或群組中才能執(zhí)行。
- 對(duì)於在印度因當(dāng)?shù)厥褂谜呓逵蒞hatsApp傳遞假新聞而造成多起私刑事件,甚至讓印度政府動(dòng)念封鎖WhatsApp,WhatsApp除了提出改善之道以外,也在本周開始限制印度用戶一次最多只能將信息轉(zhuǎn)寄給5個(gè)人,正常版的WhatsApp一次可轉(zhuǎn)寄給20人。