最新軟體應用文章

Image credit: REUTERS

WhatsApp 伺服器存有漏洞,可把無關人士加入私密群組

不過這在伺服器端存在的漏洞,怎麼感覺有點不安呢...

Eric Chan , @erichankc
2018 年 1 月 11 日, 傍晚 07:00
29 分享次數
分享
分享
Twitter 發表
line
電郵
儲存

WhatsApp 在 2016 年開始就為其通訊服務提供端至端加密,把使用者之間的文字、相片或影片內容都加密保護,顯示他們對於用戶個資保護的積極性。可是據 Wired 的報導,WhatsApp 的伺服器有著嚴重漏洞,可以從伺服器端把無關人員加入私密群組之中。

這發現是由德國波鴻魯爾大學的研究人員,於蘇黎世正舉行的 Real World Crypto 會議上發表。他們同時也在其他通訊軟體 Signal 和 Threema 中發現其他的漏洞,但其嚴重性都遠遠不及 WhatsApp 裡藏有的。

漏洞內容是伺服器管理員能從伺服器端把人員加入至秘密群組,報告作者之一 Paul Rösler 向 Wired 解釋指,秘密群組的保密性因此變得不存在,因為這不請自來的新成員能查看所有後續對話內容,端至端加密保護的功能,在這情況也會變得毫無意義了。正常情況下,WhatsApp 的私密群組就只有群組管理員能新增成員,但目前卻沒有一個驗證邀請的機制。

不幸中之大幸,是這個漏洞僅限於擁有管理員權限的 WhatsApp 員工才可以做到這事情,所以只要 WhatsApp 方面沒有這個意思的話,大家的群組對話也不是那麼容易就被窺視到。而且 Wired 也獲得 WhatsApp 方面的回應,指當有新成員加入群組時,所有現有成員都會收到消息,所以他們不可能秘密地在群組裡加插新成員,而不讓任何人知道。不過這在伺服器端存在的漏洞,怎麼感覺有點不安呢...