来源: 时间:2022-07-09 12:35:08
根据德国安全研究人员小组的说法,WhatsApp群聊可能不那么安全,未经群管理员许可,很容易被渗透。该小组发现了三组流行的即时消息应用程序与WhatsApp的安全协议中的缺陷,因为它具有10亿和用户群。研究人员研究了WhatsApp,Signal和Threema,并在瑞士苏黎世的 “真实世界加密安全会议” 上展示了他们的发现。
根据该报告,尽管Signal和Threema的缺陷并不那么严重,但通过WhatsApp,他们发布了控制该应用程序服务器的任何人都可以将新人插入私人团体。据研究人员称,这将在不需要组管理员许可的情况下实现。WhatsApp在整个应用程序中引入了端到端加密,并使该组上的所有对话成为私有对话,这意味着任何第三方都无法阅读它们,无论是政府,犯罪分子还是WhatsApp本身。WhatsApp偶然地依赖于信号协议进行端到端加密。
根据Wired的报告,研究人员指出了WhatsApp的身份验证系统中的一个错误。他们指出,当新成员添加到组时,“WhatsApp不使用任何身份验证机制”,这也是它自己的服务器可以欺骗的东西。研究人员声称,控制WhatsApp服务器的人甚至可以在管理员不知道的情况下将新人添加到组中。
虽然攻击者进入组之前共享的消息无法读取,但它确实允许该人访问从此时开始共享的所有消息。研究人员说,在黑客控制服务器的群聊中,存在许多风险,因为他们可以操纵谁获得什么消息,删除消息等等。
该论文现在可以在线获得。安全研究人员认为,根据群聊指出的漏洞,需要增强群聊中的安全协议。根据该文件,对 “端到端受保护的组通信” 的调查仅引起很少的关注。他们还指出,尽管他们专注于三个应用程序,但他们的 “方法和基础模型具有通用目的,也可以应用于其他安全组即时消息协议。”
WhatsApp向Wired确认了这些发现,尽管它说每次添加新的未知成员时,该应用程序都会发出通知警报。在给《连线》杂志的一份声明中,该公司表示: “我们已经仔细研究了这个问题…… 当新成员被添加到WhatsApp组中时,现有成员会得到通知。我们构建了WhatsApp,因此无法将群组消息发送给隐藏用户。”
相关推荐
猜你喜欢
