安全企业Check Point在黑帽大会披露Facebook旗下知名即时通讯程序WhatsApp的安全漏洞,指称相关漏洞将允许黑客篡改用户所发送的消息或发言者的身份。
根据Check Point安全研究人员的说法,他们在去年底就知会WhatsApp相关漏洞的存在,这些漏洞允许在一个群组内的黑客,利用“引用”(quote)功能来篡改发言人的身份,即使发言人并非群组成员;或是允许黑客篡改其他成员所回应的消息,等于是借由别人的嘴巴来传播谣言;另一个漏洞则是允许黑客发送一个私有消息给某个群组成员,但却假冒为公开消息,造成该群组成员会公开回应此事。
上述漏洞对于任何即时消息程序而言都是重要的漏洞,但发生在WhatsApp上则更受瞩目,因为WhatsApp已被视为传递假消息的温床,且它在全球已有15亿用户,每名用户每天平均检查23次WhatsApp的消息。
WhatsApp已经修补了第三个漏洞,但前两个却依然存在,Check Point则实际展示如何攻陷这两个安全漏洞,成功篡改了发言人的身份及变更用户所回应的消息。
然而,The Next Web引用Facebook的回应指出,Check Point所发现的并非是WhatsApp的安全漏洞,他们所描述的场景比较像是只会在移动设备上出现的,如同篡改电子邮件的回应内容,让它看起来像是某人写的,若要解决这些问题可能需要存储原始消息,而这便会危及WhatsApp用户的隐私。
The Next Web指出,传闻WhatsApp正在打造桌面版程序,有机会缓解上述问题。