上周,英国《卫报》刊文称移动即时通讯应用程序WhatsApp设有“后门”。文章引起许多人关注,由安全研究人员组成的第三方团体发表公开信,要求《卫报》撤回报道。学术专家泽伊内普·图菲克希(Zeynep Tufekci)在公开信中表示:“很遗憾,你们的报道相当于在标题中写下‘疫苗杀人’这种耸人听闻的字眼,而报道的内容缺乏根据。”
公开信还指责称,《卫报》的论断会对用造成危害。图菲克希说:“这是一个重大问题,你们如果没有采访大量的专家不应该刊发类似的报道。”图菲克希指出,《卫报》的报道可能会对WhatsApp用户造成影响,这点在Twitter平台已经可以感受到。
上周,WhatsApp在接受媒体采访时驳斥了报道,坚称自己的平台没有“后门”。WhatsApp在声明中表示:“WhatsApp没有向政府提供后门,让它们接入系统,如果有任何政府要求在平台植入后门,公司都会拒绝。《卫报》在报道中谈到的问题只是出于设计上的考虑,目的是防止信息丢失,WhatsApp会向用户发送安全通知,告诉他们可能存在的安全风险。”
Signal Protocol是一套开源、前向安全加密协议,被异步信息系统广泛采用。去年,协议的制定者马林斯帕客(Moxie Marlinspike)曾与WhatsApp携手合作,推出端到端加密系统,此举意味着WhatsApp的安全性大大提升。马林斯帕客在邮件中表示,《卫报》的报道“非常不准确”。
《卫报》的报道是以独立安全研究人员托拜厄斯·贝尔特(Tobias Boelter)的报告作为基础的,2016年4月,贝尔特在报告中指出,如果信息发送不成功,WhatsApp会生成新的加密密钥让离线用户观看内容。贝尔特认为,WhatsApp的技术存在“重发漏洞”,信息可能会被窃取。当密钥变更时,WhatsApp用户的确可以选择开启通知功能,只是当用户收到警告通知时消息早已发送。贝尔特由此认为系统存在安全风险。
贝尔特还说,撰写报告时曾向WhatsApp母公司Facebook通报过该问题,Facebook回应称这种情况是预料之中的事。
上周,WhatsApp澄清说密钥重发处理完全是出于设计考虑,在某些情况下,信息转移可能会丢失,密钥重发可以降低丢失的概率,例如,当用户换了新手机或者拿出SIM卡时可能会导致信息丢失。
安全团队则认为,WhatsApp的设计只是一个功能,不是漏洞。在公开信上签名的专家还有密码员布鲁斯·施奈尔(Bruce Schneier)、Tor Project成员伊希斯·莱迈克拉夫特(Isis Lovecruft)、安全研究员Thaddeus T. ‘Grugq’、Mozilla安全专家凯瑟琳·麦金利(Katherine McKinley)等。
开公信写道:“如果我们将信息的可靠信放在优先位置,当手机或者SIM卡更换时,WhatsApp采用密钥更换技术重发未读信息是可以接受的,这是一种权宜之计。”在密钥重发之时被拦截的风险很小,不太可能构成威胁。
《卫报》新闻媒体发言人在声明中回应称:“我们刊发了一系列报道,重点讨论WhatsApp存在的漏洞以及它可能造成的影响,这个漏洞已经被确认。在刊发文章之前,我们联系过WhatsApp,它们的回应也写进了文章,在文章发布之后,我们还收到了WhatsApp的评论,该评论也已经公开。虽然坚信自己的报道是正确的,我们还是对‘后门’这一术语的使用作了修改,并在文章注解中强调这点。我们已经看到泽伊内普·图菲克希的公开信,还让他为《卫报》写一篇回应文章。这一邀请仍然有效,对于争论我们持欢迎态度。”
在公开信发表之前,《卫报》已经修改文章,标题没有使用“后门”这一说法,换上了“漏洞”。编辑还在文章最后解释了修改的原因:“WhatsApp发来了最新声明,它说没有向政府提供‘后门’,让政府接入系统,因此我们本文作了修改。”