【WhatsApp灾难】加密存漏洞　对话随时遭截取　威胁私隐与自由

英国《卫报》独家报道指，有专家发现WhatsApp存在安全漏洞，可容让Facebook或其他人截取用户的讯息纪录；有关注私隐权的倡导组织对此表示忧虑，称漏洞“对言论自由构成威胁”，并警告这可能会被政府人员利用。这到底是WhatsApp的漏洞，还是故意加插的“功能”？

Facebook曾声称无人可以截取Whatsapp用户的讯息，包括Facebook本身及其工作人员，向全球逾10亿用户保证该软件的安全性。Whatsapp近年亦推出端对端加密（end-to-end encryption），以私隐及安全作为卖点，令各地的社运人士、异见者、甚至外交官也用得安心。然而，有最新研究发现，基于Whatsapp所采用的加密方式，Facebook实际上可以阅读用户的讯息。

该漏洞由美国加州大学柏克莱分校（University of California-Berkeley）的加密及安全研究人员Tobias Boelter发现，他向《卫报》表示︰“如果Whatsapp被政府人员要求透露用者的讯息纪录，由于安全钥匙的改动，Whatsapp可以有效授权他们取得。”

讯息强制再加密过程中有被截取可能

重点来了，那么该漏洞实际上是怎样发生？Whatsapp的端对端加密能够运作，主要依靠生产独一无二的安全钥匙，利用由Open Whisper Systems所研发、为人称道的通讯程式“Signal”，让用户互传讯息，保证安全，不会被第三者截取。然而，Whatsapp却有能力强制离线用户生产新的加密钥匙，在用户不知情底下，将讯息发送者的讯息再次以新的钥匙加密，将那些未传送或未显示传送（双剔）的讯息再一次传送给接收者。

因此，接收者不会察觉到这个再度加密的过程，而只有当发送讯息的用户在Whatsapp设定中选择了加密的警告，并且在再加密的情况发生后，才会收到相关提示。这个再加密、再发送的过程，有效容让Whatsapp截取用户收发的讯息。

Whatsapp所利用的Signal本身并没有这个安全漏洞，曾披露美国国家情报的斯诺登也推荐使用这个通讯程式。当接收讯息的用户在离线时加密钥匙被改变，讯息便不能成功传送，而发送讯息的用户也会收到加密钥匙有所改变提示，程式亦不会自动再次发送该讯息。

Fb早已知悉漏洞　未积极修改

其实Boelter曾于去年4月已告知Facebook这个Whatsapp的安全漏洞，但Facebook回应指他们已察觉到这问题，声称这是“预期的行为”，并且没有积极去修改。Boelter指出︰“有些人可能会说，Whatsapp这个弱点，可能只会被利用来窃取‘单一条’的讯息，而非整个对话纪录，但这并不正确，如果你考虑到Whatsapp的伺服器其实可以在没有发送‘接收者已接收到讯息’的提示（即双剔）底下，将讯息转发，而用户可能并不察觉。利用这个再传送的弱点，Whatsapp的伺服器可以取得整个对话内容，并非只是一条讯息。”经《卫报》确认，该安全漏洞仍然存在。

有份成立英国的资讯、监控及私隐研究中心、来自苏格兰圣安德鲁大学（University of St Andrews）的Kirstie Ball教授，指Whatsapp存在的安全漏是“安全人员的金矿”，也是“对用户信任的极大背叛”。她补充︰“这是对言论自由的极大威胁，因为这容让它随时看你在说什么。消费者将会说‘我没有什么要收藏’，但其实你不知道什么资讯正被搜寻，什么连系正被建立。”

（卫报）