写于 2018-12-23 04:13:02| 澳门金沙网上平台| 访谈
<p>据Wired称,德国研究人员表示,WhatsApp存在一个漏洞,可能允许攻击者渗透群聊</p><p>来自波鸿鲁尔大学的研究人员分析了三种加密聊天应用程序中的缺陷:WhatsApp,Signal和Threema</p><p>专家们计划于周三在瑞士举行的Real World Crypto安全会议上公布他们的调查结果</p><p>研究人员在上周发布的“更多就是更少:关于Signal,WhatsApp和Threema的群聊的端到端安全性”一文中揭示了一些瑕疵,这些瑕疵违背了平台声称其团体聊天安全的说法</p><p>研究人员表示,WhatsApp中的漏洞可以允许控制平台服务器的任何人将新人添加到私人组中,而无需群组聊天管理员的许可进入对话</p><p>这个缺陷意味着可能侵入WhatsApp服务器的黑客可以利用该漏洞并渗透群聊</p><p>冒名顶替者还可以阻止消息,如问题或请求</p><p>研究人员在论文中解释说:“所描述的弱点使攻击者A能够控制WhatsApp服务器或者可以打破传输层安全性,从而完全控制一个群体</p><p>但是,输入该组会留下痕迹,因为此操作已在图形用户界面中列出</p><p>因此,WhatsApp服务器可以使用它可以隐藏地重新排序和丢弃组中的消息的事实</p><p>因此,它可以将发送的消息缓存到组中,首先读取它们的内容并确定它们以何种顺序传递给成员</p><p>此外,WhatsApp服务器可以将这些消息单独转发给成员,这样精巧选择的消息组合可以帮助它覆盖这些痕迹</p><p>“研究人员去年夏天告诉WhatsApp这个问题</p><p>在连线的一份声明中,WhatsApp表示已经调查了这个问题</p><p> “当新人加入WhatsApp小组时,现有成员会收到通知,”该平台表示,“我们建立了WhatsApp,因此群组消息无法发送给隐藏用户</p><p>我们的用户的隐私和安全对WhatsApp来说非常重要</p><p>这就是为什么我们收集的信息非常少,WhatsApp上发送的所有信息都是端到端加密的</p><p>“然而,该平台告诉Wired,该漏洞不符合由Facebook运营的bug赏金计划,该计划拥有WhatsApp</p><p>在该计划中,安全性专家得到报酬来报告公司软件中的漏洞</p><p>研究人员还详细介绍了Signal和Threema中的其他缺陷</p><p>在Signal的案例中,WhatsApp中的同组聊天攻击也可以在应用程序中找到</p><p>但是,对于Signal,冒名顶替者需要研究人员在论文中称,控制信号服务器需要知道一个成员的组ID和电话号码</p><p>至于Threema,有一些较小的漏洞允许控制服务器的攻击者重放消息或将用户添加回群聊</p><p>该平台称它发布了针对这些漏洞的修复程序</p><p> “虽然我们的调查侧重于三种主要的即时通讯应用程序,但我们的方法和底层模型具有通用性,并且可以应用于其他安全组即时消息传递协议,”研究人员在论文中总结道</p><p> “例如,分析其他基于信号的消息传递协议的群聊实施会很有意思,例如Google的Allo,Wire和Facebook Messenger,甚至是基于非信号的协议,