BI中文站 1月14日報道

Facebook

旗下的消息平臺WhatsApp是市面上安全程度相對較高的消息應用之一。WhatsApp在今年早些時候重新設計了后臺，讓用戶們通過這項服務發(fā)出的每一條消息都是安全的，即便是WhatsApp也無法看到消息的內(nèi)容。WhatsApp將這種安全技術(shù)稱作端到端加密。但是衛(wèi)報周五發(fā)表了一篇報道，對WhatsApp的安全機制提出質(zhì)疑，報道指出WhatsApp應用中存在一個“安全漏洞”或“后門”，政府部門可以通過這個漏洞或后門窺探用戶的隱私信息。但是不用擔心。WhatsApp應用中并不存在后門，就像聯(lián)邦調(diào)查局希望

蘋果

在iPhone中預設的那種后門。Open Whisper Systems的創(chuàng)始人莫克西·馬林斯派克（Moxie Marlinspike）曾經(jīng)參與設計WhatsApp的安全協(xié)議，他在本周五發(fā)表了一篇洋洋灑灑、說理細致的博客文章，對衛(wèi)報提出的質(zhì)疑進行了反駁。密碼學是一門專注于細節(jié)的、極其復雜的學科，概述性的文字通常都是錯誤的，但是關(guān)鍵是：消息收發(fā)系統(tǒng)必須知道用戶的消息確實發(fā)到了他想要傳遞消息的對象手中。但是WhatsApp認為，如果一名用戶改變了他的安全密鑰，它就可以向用戶發(fā)出警示信息，而不是像某些消息應用那樣將改變安全密鑰的用戶完全攔截，它只會發(fā)出一條如圖所示的警示信息。正是因為這樣的設定，導致衛(wèi)報對WhatsApp的安全性提出了質(zhì)疑。衛(wèi)報懷疑政府部門也許可以通過“中間人”攻擊劫持一名用戶本想發(fā)給另一名用戶的消息。馬林斯派克解釋說：“大多數(shù)端到端加密通訊系統(tǒng)都有一些類似于這種驗證方式的設置?！敝虚g人攻擊（Man-in-the-Middle Attack，簡稱“MITM攻擊”）是一種“間接”的入侵攻擊，這種攻擊模式是通過各種技術(shù)手段將受入侵者控制的一臺計算機虛擬放置在網(wǎng)絡連接中的兩臺通信計算機之間，這臺計算機就稱為“中間人”。然后入侵者把這臺計算機模擬成一臺或兩臺原始計算機，使“中間人”能夠與原始計算機建立活動連接并允許其讀取或修改傳遞的信息，然而兩個原始計算機用戶卻認為他們是在互相通信。通常，這種“攔截數(shù)據(jù)——修改數(shù)據(jù)——發(fā)送數(shù)據(jù)”的過程就被稱為“會話劫持”（Session Hijack）。馬里斯派克說：“中間人攻擊特別適合用來對付公共密鑰密碼學，而不僅僅是WhatsApp?！睂嶋H上，WhatsApp根據(jù)其可用性做了一項安全選擇，因為它有10億用戶，關(guān)閉用戶之間的會話可能會引起用戶的不滿。更糟的是，它可能會讓整個系統(tǒng)變得更不安全。密碼學家必須時時刻刻權(quán)衡利弊。馬林斯派克說：“考慮到WhatsApp用戶群的龐大規(guī)模和影響范圍，我們感覺他們選擇這種通知而非完全攔截的方式是恰當?shù)摹耐该骱兔艽a學的角度來說，這樣做保證了每一位用戶的體驗和用戶通訊的隱私。如果選擇攔截的方式，有時候可能會讓事情變得更糟糕。那樣會將信息泄露給服務器，讓服務器端知道誰開啟了這項功能而誰沒有開啟它，這實際上就是告訴服務器誰有可能被用‘中間人攻擊’的方式攻破。在這方面，WhatsApp可是非常慎重的?！比绻銚耐ㄓ崈?nèi)容的隱私受到侵害，WhatsApp提供的解決方案仍然比其他可替代方案比如電報的安全性更優(yōu)秀。然而，如果你特別在意安全性而對可用性的要求比較低，那么不妨選擇Open Whisper Systems的Signal消息應用，這也是斯諾登（Edward Snowden）最喜愛的消息應用。（編譯/林靖東）