WhatsApp存在"后门" 或致用户信息遭到监听

  近日，根据Freebuf报道，来自加州大学的安全研究人员Tobias Boelter最近发布了一份报告，端到端加密通信服务商所采用的基于信号协议的加密方式存在“后门”，比如WhatsApp和Telegram等软件。

  英国《卫报》率先对此进行了报道，入侵者和情报机构等都可通过利用这种基于信任的密钥交换机制去拦截用户信息，而用户却对此一无所知。

  WhatsApp的“后门”在哪里？

  WhatsApp采用端到端加密机制。任意两个人使用设备向对方发送信息，都是基于本地私钥和公钥来加密和解密信息。比如A给B发信息，A的私钥和B的公钥先加密信息，然后B用本地私钥和A的公钥来解密信息。WhatsApp服务器上存储有双方协商的公钥，而私钥则是A/B的设备双方在本地生成的。

  试想这样一个场景，某一天A给B发消息，而B却处在离线状态。且B因为某些原因需要更换一台设备登录WhatsApp帐号。这个时候由于B的设备已经不再有先前双方协商的密钥，理应是无法对A发送的消息进行解密的，但实际上在B用新设备登录WhatsApp后依然可以收到A发送的消息。这就是最近盛传的有关WhatsApp的“后门”所在。

  虽然很多安全专家仍在就该问题是“功能”还是“后门”存在争议，而WhatsApp也向《卫报》表示，WhatsApp并没有在系统中为政府提供‘后门’，而且也将努力不响应政府的请求。卫报提到的这种设计让我们数千万信息不会丢失，而且WhatsApp也为用户提供了安全通知功能，告知他们潜在安全风险。

  但是安全问题依然存在：那就是政府和存在国家背景的黑客都可能拦截并获取WhatsApp用户的聊天记录。因此，有人提出两点建议：一是不要再频繁的生成用户的加密密钥；二是增加新的隐私设置，如果将此选项打开，除非用户手动验证通过，他的WhatsApp将不会自动信任新的加密密钥并发送信息。