【WhatsApp災難】加密存漏洞 對話隨時遭截取 威脅私隱與自由

撰文:羅恩賜
出版:更新:

英國《衛報》獨家報道指,有專家發現WhatsApp存在安全漏洞,可容讓Facebook或其他人截取用戶的訊息紀錄;有關注私隱權的倡導組織對此表示憂慮,稱漏洞「對言論自由構成威脅」,並警告這可能會被政府人員利用。這到底是WhatsApp的漏洞,還是故意加插的「功能」?

有專家揭發Whatsapp的加密方式存在安全漏洞,用戶的訊息可能在全不知情下遭截取。(Getty Images)

Facebook曾聲稱無人可以截取Whatsapp用戶的訊息,包括Facebook本身及其工作人員,向全球逾10億用戶保證該軟件的安全性。Whatsapp近年亦推出端對端加密(end-to-end encryption),以私隱及安全作為賣點,令各地的社運人士、異見者、甚至外交官也用得安心。然而,有最新研究發現,基於Whatsapp所採用的加密方式,Facebook實際上可以閱讀用戶的訊息。

該漏洞由美國加州大學柏克萊分校(University of California-Berkeley)的加密及安全研究人員Tobias Boelter發現,他向《衛報》表示︰「如果Whatsapp被政府人員要求透露用者的訊息紀錄,由於安全鑰匙的改動,Whatsapp可以有效授權他們取得。」

訊息強制再加密過程中有被截取可能

重點來了,那麼該漏洞實際上是怎樣發生?Whatsapp的端對端加密能夠運作,主要依靠生產獨一無二的安全鑰匙,利用由Open Whisper Systems所研發、為人稱道的通訊程式「Signal」,讓用戶互傳訊息,保證安全,不會被第三者截取。然而,Whatsapp卻有能力強制離線用戶生產新的加密鑰匙,在用戶不知情底下,將訊息發送者的訊息再次以新的鑰匙加密,將那些未傳送或未顯示傳送(雙剔)的訊息再一次傳送給接收者。

因此,接收者不會察覺到這個再度加密的過程,而只有當發送訊息的用戶在Whatsapp設定中選擇了加密的警告,並且在再加密的情況發生後,才會收到相關提示。這個再加密、再發送的過程,有效容讓Whatsapp截取用戶收發的訊息。

Whatsapp所利用的Signal本身並沒有這個安全漏洞,曾披露美國國家情報的斯諾登也推薦使用這個通訊程式。當接收訊息的用戶在離線時加密鑰匙被改變,訊息便不能成功傳送,而發送訊息的用戶也會收到加密鑰匙有所改變提示,程式亦不會自動再次發送該訊息。

Fb早已知悉漏洞 未積極修改

其實Boelter曾於去年4月已告知Facebook這個Whatsapp的安全漏洞,但Facebook回應指他們已察覺到這問題,聲稱這是「預期的行為」,並且沒有積極去修改。Boelter指出︰「有些人可能會說,Whatsapp這個弱點,可能只會被利用來竊取『單一條』的訊息,而非整個對話紀錄,但這並不正確,如果你考慮到Whatsapp的伺服器其實可以在沒有發送『接收者已接收到訊息』的提示(即雙剔)底下,將訊息轉發,而用戶可能並不察覺。利用這個再傳送的弱點,Whatsapp的伺服器可以取得整個對話內容,並非只是一條訊息。」經《衛報》確認,該安全漏洞仍然存在。

有份成立英國的資訊、監控及私隱研究中心、來自蘇格蘭聖安德魯大學(University of St Andrews)的Kirstie Ball教授,指Whatsapp存在的安全漏是「安全人員的金礦」,也是「對用戶信任的極大背叛」。她補充︰「這是對言論自由的極大威脅,因為這容讓它隨時看你在說什麼。消費者將會說『我沒有什麼要收藏』,但其實你不知道什麼資訊正被搜尋,什麼連繫正被建立。」

(衛報)