作者:趨勢科技資深分析師Rik Ferguson
WhatsApp Inc.,一家非常成功的跨 (行動)平台訊息應用程式。被荷蘭資料保護機構(Dutch Data Protection Authority,CBP)和加拿大隱私委員會辦公室(The Office of the Privacy Commissioner of Canada,OPC)展開聯合調查。他們在一月廿八日所發表的聯合聲明裡指出WhatsApp有下列違規行為:
「違反國際公認的隱私原則,主要在對個人資料的保留、維護與揭露方面」。
這些發現進一步地強調了David Sancho在去年研究行動應用程式安全時所作出的結論。以及最近所發表關於資料隱私的Ponemon研究結論。
這項調查展開了有數個月,主要有三個發現,其中兩個問題已經被WhatsApp公司相當程度地解決了,但另外一個仍然尚未解決。
WhatsApp公司已經採取行動去解決的兩個問題,是關於他們網路通訊安全的部分。調查機構發現,使用WhatsApp發送的所有訊息都未經過加密,這意味著要攔截私人通訊是輕而易舉的事情。這些通訊往往不只包含文字訊息,還會有圖片、聲音、視訊和位置資訊。在二〇一二年九月,為了回應這些調查,WhatsApp開始對其通訊加密。
另外,調查還發現WhatsApp用來產生「訊息交換用的密碼」的方式十分脆弱。基本上,訊息發送者的身份是由MAC地址或發送裝置IMEI號碼來加以確認。調查得出(正確地)結論,因為這些資訊相對上都很容易外洩或被竊取,要用來作為身份驗證機制並不可靠的,也非常容易就能夠偽造WhatsApp通訊的發送者。由於這個發現,WhatsApp公司已經改進驗證訊息發送者身份的技術,現在是使用隨機生成的金鑰進行簽章。
為了要能夠享受到這些重要的安全增強功能,WhatsApp用戶,不管是不是活躍的使用者,都強烈建議要確保自己所運行的是最新的版本。
最後的調查結論是WhatsApp公司對於他們如何處理使用者的通訊錄並不夠透明。為了要填入使用者設備上的WhatsApp通訊錄,並確認登入服務的新用戶,一旦經過使用者同意,就會將整個通訊錄從使用者設備上傳到WhatsApp公司的伺服器。這一步在每個行動平台使用該服務前都必須執行。運行iOS 6的Apple iPhone是唯一的例外,使用者可以選擇手動加入聯絡人。此外,被處理過的上傳資料並不會直接刪除,而是以雜湊值的形式繼續存在,讓WhatsApp可以在使用者登錄服務時確認是否為新用戶。
這樣保存資料的方式已經違反了加拿大、荷蘭和歐洲的資料保護法,他們明文規定資料在原本需要這資料的特定目的完成後就不能再加以保留。WhatsApp目前還沒有完全解決這最後一個問題。
荷蘭當局已經警告說,他們將繼續監視WhatsApp公司在這個問題上的進展,並在必要時可能會加以制裁。
這是由各國資料保護機構所展開的聯合調查是全球首例。雖然通訊變得越來越跨越司法管轄區和國界,各種服務也會繼續無可避免地朝雲端運算和行動平台前進,一般使用者要知道,還是會有有真正權力的調查機構去對有隱私疑慮的案子展開調查,他們彼此之間也會有效地互相合作以達到圓滿的結果。
@原文出處:WhatsApp in violation of privacy law.
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
◎ 歡迎加入趨勢科技社群網站
