就在WhatsApp因假新闻事件被印度政府盯上的时候,以色列资安业者Check Point在本周踢爆WhatsApp含有可窜改通讯内容的安全漏洞。
WhatsApp为一跨平台且强调端对端加密的免费通讯程式,在2014年被脸书(Facebook)以190亿美元收购。目前WhatsApp在全球拥有超过15亿的用户,是全球最受欢迎的通讯程式,其中有2亿用户位於印度。
Check Point说明,WhatsApp的加密机制只允许接收端看到传送端的信息,就算是WhatsApp都无法检视用户信息,Check Point研究人员则以逆向工程探索WhatsApp的演算法,并於本地端解密了WhatsApp的网络请求以判断该程式的运作方式。
Check Point示范影片,如何在WhatsApp上制造假消息:
- 研究人员发现了WhatsApp传递信息时所使用的参数,并藉由变更这些参数来试探可能的攻击行为,显示出他们得以在群组中使用「引用」(quote)功能时变更寄送者的身分,也能窜改别人所回覆的文字,或者传送一个看起来像是公开信息的私人信息予群组用户。不过,上述攻击都必须要在骇客身处对话或群组中才能执行。
- 对於在印度因当地使用者藉由WhatsApp传递假新闻而造成多起私刑事件,甚至让印度政府动念封锁WhatsApp,WhatsApp除了提出改善之道以外,也在本周开始限制印度用户一次最多只能将信息转寄给5个人,正常版的WhatsApp一次可转寄给20人。
