全球用戶逾10億的即時通訊軟件WhatsApp,去年加入點對點加密技術,提升用戶私隱安全,但英國《衞報》昨踢爆WhatsApp的加密技術有「後門」,可以讓其他人窺探用戶訊息。私隱權益組織和本港的電腦專家批評,這道「後門」能讓中、美等外國政府在用戶不知情下,截取目標人物的通訊內容,促WhatsApp堵塞有關漏洞,用戶若感擔心可考慮改用其他保安程度更高的通訊軟件。
WhatsApp是使用開放源碼商Open Whisper Systems開發的信令協議,為用戶賬號產生獨一無二的安全密鑰進行加密通訊,連美國叛諜斯諾登也公開稱讚過Open Whisper Systems出品夠保密。
可是,美國加州大學網絡安全專家貝爾特發現,WhatsApp在信令協議做過改動,可以在用戶離線下,強制賬戶產生新的密鑰,然後重新加密訊息發送出去。專家指WhatsApp有可能藉此將訊息發給其他人,包括政府,除非用戶在保安設定特別選擇在這情況作通知,否則會被蒙在鼓裏。
貝爾特去年4月通知WhatsApp母公司facebook有關漏洞,但對方僅回覆早知這個情況。WhatsApp向《衞報》解釋,有關做法是要確保用戶換手機、換SIM卡或重新安裝軟件後,更容易同朋友恢復聯繫,其間不會出現訊息遺漏;但被追問WhatsApp和facebook有沒有在政府要求下,截取用戶的加密訊息時,未有正面回答。
專家促加日誌通知
華爾基利信息安全研究組織電腦保安研究員賴灼東指,facebook正欲打入中國市場,今次發現的後門若不堵塞,令人關注日後會否因中國政府向facebook施壓令WhatsApp用戶的對話內容外洩給政府。他認為WhatsApp即使暫未能堵塞漏洞,至少也須盡快修定程序加入「日誌(log)」,令到程式突然更換客戶加密鑰及重發訊息時通知用家,令用家可作提防。
香港資訊科技商會榮譽會長方保僑則指,WhatsApp上述後門原意相信是方便用家,但卻有機會被濫用作截聽。他建議現階段若WhatsApp用戶若要進行敏感的對話,可考慮改用保安程度更高的加密通訊軟件如Signal,以防範機密通訊內容外洩。
英國《衞報》