REUTERS
WhatsApp 在 2016 年开始就为其通讯服务提供端至端加密,把使用者之间的文字、相片或视频内容都加密保护,显示他们对于用户个资保护的积极性。可是据 Wired 的报道,WhatsApp 的服务器有着严重漏洞,可以从服务器端把无关人员加入私密群组之中。
这发现是由德国波鸿鲁尔大学的研究人员,于苏黎世正举行的 Real World Crypto 会议上发布。他们同时也在其他通讯软件 Signal 和 Threema 中发现其他的漏洞,但其严重性都远远不及 WhatsApp 里藏有的。
漏洞内容是服务器管理员能从服务器端把人员加入至秘密群组,报告作者之一 Paul Rösler 向 Wired 解释指,秘密群组的保密性因此变得不存在,因为这不请自来的新成员能查看所有后续对话内容,端至端加密保护的功能,在这情况也会变得毫无意义了。正常情况下,WhatsApp 的私密群组就只有群组管理员能新增成员,但目前却没有一个验证邀请的机制。
不幸中之大幸,是这个漏洞仅限于拥有管理员权限的 WhatsApp 员工才可以做到这事情,所以只要 WhatsApp 方面没有这个意思的话,大家的群组对话也不是那么容易就被窥视到。而且 Wired 也获得 WhatsApp 方面的回应,指当有新成员加入群组时,所有现有成员都会收到消息,所以他们不可能秘密地在群组里加插新成员,而不让任何人知道。不过这在服务器端存在的漏洞,怎么感觉有点不安呢...