研究人員:WhatsApp漏洞允許駭客竄改訊息

資安業者Check Point在黑帽大會揭露Facebook旗下知名即時傳訊程式WhatsApp的安全漏洞,指稱相關漏洞將允許駭客竄改使用者所發送的訊息或發言者的身分。

根據Check Point安全研究人員的說法,他們在去年底就知會WhatsApp相關漏洞的存在,這些漏洞允許在一個群組內的駭客,利用「引用」(quote)功能來竄改發言人的身分,即使發言人並非群組成員;或是允許駭客竄改其他成員所回應的訊息,等於是藉由別人的嘴巴來散布謠言;另一個漏洞則是允許駭客傳送一個私有訊息予某個群組成員,但卻假冒為公開訊息,造成該群組成員會公開回應此事。

上述漏洞對於任何即時訊息程式而言都是重要的漏洞,但發生在WhatsApp上則更受矚目,因為WhatsApp已被視為傳遞假消息的溫床,且它在全球已有15億用戶,每名使用者每天平均檢查23次WhatsApp的訊息。

WhatsApp已經修補了第三個漏洞,但前兩個卻依然存在,Check Point則實際展示如何攻陷這兩個安全漏洞,成功竄改了發言人的身分及變更用戶所回應的訊息。

然而,The Next Web引用Facebook的回應指出,Check Point所發現的並非是WhatsApp的安全漏洞,他們所描述的場景比較像是只會在行動裝置上出現的,如同竄改電子郵件的回應內容,讓它看起來像是某人寫的,若要解決這些問題可能需要儲存原始訊息,而這便會危及WhatsApp用戶的隱私。

The Next Web指出,傳聞WhatsApp正在打造桌面版程式,有機會緩解上述問題。

原文來自 iThome Online