对端到端加密消息传递技术的需求很大,几年前,WhatsApp实施了Open Whisper System的解决方案。但是一份新的研究论文显示,Facebook拥有的平台的安全性存在一些重大缺陷。在最近在瑞士苏黎世举行的真实世界加密安全会议上,德国波鸿鲁尔大学的网络安全分析师介绍了一篇有关WhatsApp,Signal和Threema等加密消息应用程序中的安全漏洞的论文。所有这三个公司都在宣传安全和加密的消息,但团队的发现在不同程度上破坏了这些主张。
团队在Signal和Threema中发现的缺陷相对来说是无害的,但是WhatsApp的漏洞值得关注。根据该文件,控制WhatsApp服务器的任何人都可以在未经管理员许可的情况下将其他人插入其他私有组。约翰·霍普金斯大学的研究员马修·格林对《连线》说:“(就像]将银行的前门解锁,然后说没有人会抢劫它,因为有一个安全摄像头。” “这很蠢。”
该错误与WhatsApp如何处理群聊有关。该应用程序不使用身份验证机制来邀请新成员加入群聊,这意味着其服务器可以欺骗该邀请。被欺骗的邀请会将新的,未被邀请的人添加到群聊中,并自动与成员共享密钥,从而使他或她可以完全访问以后的任何消息。
窃听WhatsApp群组对话可能不是最有效的方法-您需要访问WhatsApp的服务器,而且任何意外的受邀者都一定会引起怀疑。但是,这里希望能尽快得到补丁。