在瑞士舉行的Real World Crypto 2018安全會議上,來自德國波鴻魯爾大學的安全研究人員,發現在加了密的Whatsapp上發現了嚴重的漏洞。研究人員指,任何控制Whatsapp伺服器的人,都可以輕易在私人群組加入新人,而此操作無須經群組管理員的批準。
而這漏洞的出現,讓未獲邀請加入的用戶,也可以獲得到群組成員的電話號碼,以及各個訊息。而事實上WhatsApp伺服器也能做到刪除消息紀錄的操作。只要緩存發送時的資訊,就能率先閱讀內容,就能掩飾以上動作。而可以這樣做的,就是擁有Whatsapp管理員權限的員工。安全研究人員表示,這漏洞完全破壞了群聊的端對端加密,也容易被黑客利用。同時,漏洞還可能被政府運用,以加入到任何私人群組對內容進行監聽。故建議用家如需要較高私隱度的即時通訊應用,應使用個人私訊或其他加密式更加強的應用程式。
來源:wired,漏洞詳細報告.pdf