WhatsApp是Facebook旗下的即时通讯软件,这款软件目前在全球拥有超过20亿名用户。为提高安全性此前WhatsApp已经启用端到端加密(E2EE),端到端加密可以确保只有信息发送者和接收者才能解密消息,而其他第三方或中间人因为没有密钥是无法读取消息的。
尽管如此但WhatsApp还有个饱受诟病的安全漏洞:如果用户启用备份那么通信数据会被直接上传到云端,这是没有加密的,例如用户使用iPhone的iCloud备份或Android的Google Drive这种保护就会停止,因为备份内容是没有加密的。
现在这块短板已经被补齐:
WhatsApp日前宣布启用更加全面的端到端加密技术,现在不仅用户之间的直接通信会被默认启用端到端加密,就连备份数据也同样会启用端到端加密。采用新安全策略后不论是WhatsApp还是Facebook亦或者其他任何第三方都没有解密密钥因此无法查看用户的消息。
这种新加密措施可以确保WhatsApp备份在云端中的数据机密性、完整性和可用性,就隐私保护来说确实是个进步,尽管Facebook在隐私方面的名声比较差。值得注意的是此次更新对WhatsApp来说也是个重大挑战,因为要确保云端数据也能启用端到端加密WhatsApp要对基础设施进行更改,这也是为什么这么长时间WhatsApp才为备份提供加密服务。
当然没有绝对的安全,对WhatsApp来说备份未加密是个已知的安全短板,现在这块短板已经被补齐,不过WhatsApp依然面临其他未知漏洞的侵袭。
部分元数据可以被检索:
按说明WhatsApp此次新提供的加密技术可以增强安全性但并不能彻底保护隐私,因为第三方仍然可以从元数据里检索信息,包括但不限于日期、时间、发送者以及接收者,但消息内容本身是无法被读取的,这是理想状态。
由于消息传递过程可能会遇到受感染的接收端或未加密的中间服务器,因此消息仍然有可能被中间人截获,同时攻击者也可以利用其它未知漏洞来窃取用户数据。当然这些预料之外的安全问题,就目前来说WhatsApp可能还无法彻底解决此类问题。
原创文章,作者:Maggie-Hunter,如若转载,请注明出处:https://blog.ytso.com/150836.html