WhatsApp“国安局会喜欢的那种东西”的秘密弱点

  心得资讯     |      2018-06-20

WhatsApp是Facebook以190亿美元收购的移动消息应用程序开发者,由于WhatsApp拥有4.5亿活跃用户和时尚地位,它可能是社交网络中一个有吸引力的新成员。研究人员说,由于WhatsApp用于保护信息免受窃听的加密技术存在一些弱点,它对政府间谍和犯罪黑客也可能具有吸引力。安全顾问公司pradorian周四发表的一篇博客文章指出,WhatsApp实施安全套接字层( SSL )加密最严重的问题之一是支持协议的第2版。该版本容易受到几个众所周知的攻击,这些攻击允许人们监控两个端点之间的连接,以便在流量通过时解密和在某些情况下操纵流量。

在itWhatsApp中设置pin也未能实现一种称为证书锁定的技术,该技术旨在阻止使用伪造证书绕过Web加密的攻击。锁定允许应用程序仅在使用特定证书与服务器通信时工作。因为证书指纹是硬编码到应用程序中的,所以它将拒绝与任何冒名顶替的证书的连接,即使它们是由主要浏览器和操作系统信任的大约500个权威机构之一签名的。

在过去的几年里,牵制在Twitter、Facebook和Google等公司开发的应用程序中变得越来越普遍。Chrome中的证书锁定是揭露欺诈性证书(由当时信任的权威数字公证人签名)的金丝雀,该证书被用来绕过保护某些Gmail用户的加密。鉴于WhatsApp迄今从风险投资家那里获得了1900多万美元,令人惊讶的是,开发人员并没有将其中的一部分投入到增加这一有用功能上。

禁卫军还注意到WhatsApp SSL的另外两个缺陷: SSL空密码的使用和SSL导出密码的启用。这两个弱点使得攻击者在移动电话和后端服务器之间传输流量时更容易绕过加密。

NSA会喜欢这种东西, s Paul Jauregui写道。它基本上允许他们(或攻击者)中间人连接,然后降级加密,这样他们就可以中断它并嗅探流量。这些安全问题使WhatsApp用户信息和通信面临风险。

这不是WhatsApp第一次因为安全漏洞而被点名。10月,荷兰乌得勒支大学的一名计算机科学专业学生记录了一个关键的加密漏洞,使得对手能够解密WhatsApp发送的通信。鉴于Facebook在锁定应用程序和服务器方面的记录,公司开发人员在将WhatsApp融入母公司之前要做的第一件事就是审核每一行代码以修复这些漏洞。Sybren a . stuvel

列出图像