在上周在拉斯维加斯举行的黑帽安全会议期间,Check Point的安全研究人员讨论了他们在流行的消息应用程序WhatsApp中发现的几个缺陷。正如你们许多人可能已经知道的那样,后者在2014年以210亿美元的价格被Facebook收购。推动用户使用WhatsApp的一个功能是使用端到端加密;这意味着除了收件人之外,任何人都无法读取用户发布的消息。甚至Facebook都看不到这条消息。但Check Point发现的缺陷对用户造成了严重后果。
安全团队指出,它在WhatsApp中发现的一个缺陷可能让黑客不仅可以阅读成员发送的消息,还可以更改消息。我想我们不必告诉你这个含义。另一个漏洞可能允许黑客将消息归因于另一个人而不是实际的发送者。同样,我们不必说明一些攻击者实际利用此漏洞可能导致的混乱。毕竟,WhatsApp在180多个拥有超过15亿用户。到2021年,WhatsApp预计将在拥有2560万用户。
Check Point还发现WhatsApp的另一个缺陷是允许黑客将公共消息伪装成私人消息。这可能会使收件人误以为他或她的回应是私密的,而事实上,其他人可以看到。当Check Point去年最初发现这三个问题并将它们指向Facebook时,该公司能够解决这个特殊问题,尽管前两个漏洞仍然可用于Check Point所谓的“威胁演员”。
“我们在一年前仔细审查了这个问题,并且我们在WhatsApp上提供的安全性存在漏洞,这是错误的。这里描述的场景仅仅是移动相当于改变电子邮件线程中的回复,使其看起来像是我们需要注意的是,解决这些研究人员提出的问题可能会使WhatsApp变得不那么私密 - 例如存储有关消息来源的信息。“ - Facebook
所以请记住,仅仅因为WhatsApp具有端到端加密,并不意味着没有任何因恶劣原因而无法利用的漏洞。