【熊猫时报讯】通訊軟件WhatsApp被揭有嚴重漏洞,用戶引述他人的信息時,可利用黑客軟件竄改發送人的身分以至信息內容,令心懷不軌者有機會炮製假消息。揭發問題的以色列電腦保安公司Check Point周三(7日)稱,研究人員早於去年發現漏洞並通報其母公司facebook(fb),惟fb則表示礙於WhatsApp的端對端加密設計,無法堵塞漏洞,漏洞1年後仍然存在。該公司周三展示一個利用該漏洞修改信息的工具,盼喚起關注。fb拒絕評論。
接報逾1年 3漏洞僅塞1 個
Check Point專門研究產品漏洞的部門主管瓦努努(Oded Vanunu)周三在美國拉斯維加斯的黑帽網絡安全會議(Black Hat)上,示範如何利用其製作的新工具,在WhatsApp引述他人的信息時改變其內容,故意歪曲他人的說話。他表示其團隊早於去年8月發現WhatsApp有3個漏洞,包括可以完全竄改他人的信息、在群組對話更改發送人身分,以及將群組對話偽裝成一對一信息,一旦對方回覆即會出現在群組中。他們向fb通報,最終fb只解決最後一個漏洞,前兩個漏洞依然存在。
瓦努努指fb向他們表示,WhatsApp的加密技術令監察和驗證用戶發送的信息真偽極為困難,甚至不可能做到,其他可能的方法亦會影響軟件的可用性。他指出,WhatsApp在全球擁有15億用戶,心懷不軌者有可能透過漏洞「利用看起來可信的消息人士傳播假消息」,加劇操縱資訊的問題,而且過程並不複雜,毋須破解WhatsApp的端到端加密技術。被問及新工具會否讓有心人更易利用漏洞,他認為公司不能夠坐視不理,有責任將行動升級,促使更多人就此展開討論。
fb:端對端加密難打假
WhatsApp散播謠言的問題近年備受關注,例如印度去年就有謠言在WhatsApp及社交媒體流傳,指有兩名男子綁架及販賣兒童,最終兩人遭村民毆打至死,類似事件在當地奪去共17條人命。去年10月的巴西大選中,WhatsApp亦被指為假新聞的溫牀,由於信息經過加密,公司及當局均難以介入調查,而且信息通常都是來自熟人,令用戶更傾向相信WhatsApp的假消息。WhatsApp在去年7月更新功能,用戶轉發他人的信息時會標明「轉發」的字眼,在今年1月亦將每條信息最多可轉發的次數由20次大幅減少至5次,以打擊假消息傳播。
網絡保安公司Symantec上月亦發現WhatsApp的漏洞,若用戶設定將收到圖片儲存在外部記憶,黑客有機會竄改圖片,例如利用惡意程式更改收據上的數字,欺騙受害人向錯誤的對象付款。今年5月,WhatsApp承認,有黑客利用語音通話功能致電用戶,然後用戶手機便會自動安裝間諜軟件監控,WhatsApp已推出修補程式。
