WhatsApp爆安全漏洞,或被NSA利用
作者: 日期:2014年02月25日 阅:3,586

whatsapp

Facebook收购WhatsApp近日成为业界的焦点话题,争论的焦点是WhatsApp到底值不值190亿美元,但是人们忽略了一点,作为拥有4.5亿活跃用户的创业公司,WhatsApp具有快速发展的创业公司的典型缺陷——产品的安全性较差。这对某些政府部门和黑帽黑客来说也非常有吸引力,尤其是当安全专家们发现WhatsApp的消息加密技术非常脆弱时候。事实上,当“愤怒的小鸟”、网络广告公司的“cookie甜饼”和公共WiFi沦为NSA的监控工具后,这种担心绝非空穴来风。以下编译自科技博客ArsTechica的报道

近日,安全顾问公司Praetorian的研究人员发现WhatsApp的安全机制采用了SSL安全协议的第二个版本,这个版本容易被监听和解密,甚至遭到中间人攻击。

WhatsApp没有采用证书密码(Certificate Pinning)技术,该技术能够阻止通过伪造证书绕过web加密的攻击行为。证书密码还能确保手机客户端的APP只与用友特定证书的服务器通讯,由于证书指纹是写死在APP代码里的,因此APP能拒绝任何伪造证书的连接请求——哪怕这个证书签发自500强企业或者政府,而且大多数浏览器都认可。

过去几年,证书密码技术越来越多地被移动应用开发商使用,例如Twitter、Facebook和Google。而Chrome浏览器的证书密码技术也确实管用,揭出了由可信机构DigiNotar签发的假冒证书,该证书被用于绕过保护Gmail用户隐私的加密技术。

对于WhatsApp这样身价已经高达190亿美元的公司来说,在证书密码这样的安全技术上的投入显得非常吝啬。

Praetorian还曝光了WhatsApp SSL技术的另外两个弱点:采用了SSL空密码和启用了SSL的导出密码。这两个弱点使得攻击者能够更轻松地绕过客户端与后端服务器之间的加密通讯。

“这就是NSA喜欢的那种东西”Praetorian的研究人员Paul jauregui指出:“NSA或者黑客能够发起中间人攻击,降低加密等级并嗅探流量。这使得WhatsApp的用户信息和通讯内容面临安全威胁。”

这已经不是WhatsApp第一次爆出安全问题了,去年10月荷兰乌特勒支大学的一位计算机专业学生曾记录了一个严重的加密缺陷,攻击者可以解密WhatsApp的通讯内容。

看来Facebook在整合WhatsApp之前,要做的第一件事就是逐行审计WhatsApp的代码,补上各种安全漏洞。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章