Meta开源发布浏览器插件,可验证Web版WhatsApp传输文件的真实性

Meta宣布发布一项浏览器插件软件,以确保Web版WhatsApp传输内容没有被人篡改,可在三大浏览器的插件软件市场下载。

WhatsApp去年宣布多设备策略,即允许用户以Web、Windows及macOS等版本App,从主要手机以外的设备使用WhatsApp。此后使用Web版的用户越来越多。WhatsApp最新开源发布Code Verify,可自动验证送到浏览器的Web程序代码,以确保通过Web版WhatsApp传输的文件或程序没有经过篡改或变更。

WhatsApp解释,手机版WhatsApp App提供全程加密,但Web版消息是由发送者直接送给信号者,并没有第三方单位验证和审核程序代码。Web环境下的传输的威胁来源是手机App版没有的,像是浏览器插件程序。此外,由于App多半是在互联网出现后开发的,尤其是App多半经过App软件商店平台的审核,之后也都会获得软件更新,本质上比Web版更为安全。

Code Verify是由Meta开源团队和Cloudflare合作提供,号称能提升WhatsApp Web传输的安全性。它是以业界常用的子资源完整性(subresource integrity)概念扩展而成,这种安全功能是让浏览器来验证它取得的资源未经非法变更。不过这类安全功能只用于单一文件,而Code Verify则可检查整个网页内的资源。

图片来源/Meta

Cloudflare在这项合作中扮演信赖第三方,且协助处理更大资源量。当激活Code Verify这个插件时,它会自动比对在WhatsApp Web上的程序、及已经由WhatsApp验证过(且交给Cloudflare)的散列值。如果程序代码经过篡改,用户就会获得通知。WhatsApp强调,虽然比对散列值不是新技术,但自动、且大规模执行则是创举。

Code Verify可在主要浏览器包括Google Chrome、Microsoft Edge及Mozilla Firefox的插件市场下载。一旦安装后,Code Verify会在用户打开WhatsApp Web时自动启动,准备侦测有异状时即时发出警示。

WhatsApp强调,Code Verify不会记录任何资料、meta data或用户资源,也不会分享任何资料给WhatsApp及Cloudflare。它也不读取WhatsApp上收发的消息,甚至Meta及WhatsApp连用户是否下载Code Verify插件都不知道。