作者:趨勢科技資深分析師Rik Ferguson
WhatsApp Inc.,一家非常成功的跨 (行動)平台訊息應用程式。被荷蘭資料保護機構(Dutch Data Protection Authority,CBP)和加拿大隱私委員會辦公室(The Office of the Privacy Commissioner of Canada,OPC)展開聯合調查。他們在一月廿八日所發表的聯合聲明裡指出WhatsApp有下列違規行為:
「違反國際公認的隱私原則,主要在對個人資料的保留、維護與揭露方面」。
這些發現進一步地強調了David Sancho在去年研究行動應用程式安全時所作出的結論。以及最近所發表關於資料隱私的Ponemon研究結論。
這項調查展開了有數個月,主要有三個發現,其中兩個問題已經被WhatsApp公司相當程度地解決了,但另外一個仍然尚未解決。
WhatsApp公司已經採取行動去解決的兩個問題,是關於他們網路通訊安全的部分。調查機構發現,使用WhatsApp發送的所有訊息都未經過加密,這意味著要攔截私人通訊是輕而易舉的事情。這些通訊往往不只包含文字訊息,還會有圖片、聲音、視訊和位置資訊。在二〇一二年九月,為了回應這些調查,WhatsApp開始對其通訊加密。
另外,調查還發現WhatsApp用來產生「訊息交換用的密碼」的方式十分脆弱。基本上,訊息發送者的身份是由MAC地址或發送裝置IMEI號碼來加以確認。調查得出(正確地)結論,因為這些資訊相對上都很容易外洩或被竊取,要用來作為身份驗證機制並不可靠的,也非常容易就能夠偽造WhatsApp通訊的發送者。由於這個發現,WhatsApp公司已經改進驗證訊息發送者身份的技術,現在是使用隨機生成的金鑰進行簽章。
為了要能夠享受到這些重要的安全增強功能,WhatsApp用戶,不管是不是活躍的使用者,都強烈建議要確保自己所運行的是最新的版本。 繼續閱讀
