立場新聞 Stand News

點對點加密技術有漏洞 WhatsApp被踢爆可截取短訊

2017/1/13 — 20:15

去年WhatsApp推出點對點加密技術,聲稱訊息不會被第三方竊取。不過英國《衛報》引述研究發現,程式加密技術存有漏洞,讓WhatsApp及其母公司Facebook能攔截用戶訊息。有專家擔心政府能借此窺探民眾的通訊,對言論自由構成巨大威脅。

這項點對點加密技術是由Open Whisper Systems研發,透過讓用戶之間生成獨特的安全密鑰,令中間人不能攔截短訊。Facebook曾經聲稱,即使是公司員工都沒有辦法攔截WhatsApp的加密短訊,以此保障其超過十億名用戶的私隱。

不過最近一項研究發現,這項加密技術存有漏洞。WhatsApp方面有能力強制要求離線用戶修改安全密鑰,令到發訊人一方需要使用新密鑰加密短訊,並且重新發送訊息。這種重新加密及重新發訊的過程,有機會容許WhatsApp從中攔截訊息。在此情況之下,收訊一方根本不會知道密鑰被修改;發訊一方只有在短訊重發後,而且又有在設定中啟動加密警告,才會得悉對方密鑰被改。

廣告

由Open Whisper Systems研發的另一通訊程式「Signal」,卻沒有上述的安全問題。Signal用戶的密鑰如果被修改,發訊一方就會立即收到警告,程式亦不會自動重新發送短訊。

今次漏洞是由加州大學柏克萊分校安全研究員Tobias Boelter發現,他其實早在2016年4月已發現問題並告知Facebook,但對方回覆指有關漏洞是預期之內,未有積極跟進。他擔心如果政府向WhatsApp方面施壓,就有可能透過上述的方式,取得用戶的訊息內容。

廣告

WhatsApp發言人回應《衛報》指,用戶可以在設定中啟動顯示安全通知的功能,當聯絡人的密鑰被修改,用戶就會獲發通知。這種情況通常都是對方更換電話或重新安裝WhatsApp時出現。

至於Facebook及WhatApps有沒有攔截過用戶訊息,以及這是否在政府要求之下而做,發言人沒有正面回應,但就要求記者翻查Facebook的「政府要求報告(Government Requests Report)」

發表意見