頂級安全專家反駁衛報報道：WhatsApp 沒有後門

facebook 旗下的消息平台 whatsapp 是市面上安全程度相對較高的消息應用之一。

whatsapp 在今年早些時候重新設計了背景，讓使用者們通過這項服務發出的每一條消息都是安全的，即便是 whatsapp 也無法看到消息的内容。whatsapp 将這種安全技術稱作端到端加密。

但是衛報周五發表了一篇報道，對 whatsapp 的安全機制提出質疑，報道指出 whatsapp 應用中存在一個 “安全漏洞” 或 “後門”，政府部門可以通過這個漏洞或後門窺探使用者的隐私資訊。

但是不用擔心。whatsapp 應用中并不存在後門，就像聯邦調查局希望蘋果在 iphone 中預設的那種後門。

open whisper systems 的創始人莫克西·馬林斯派克（moxie marlinspike）曾經參與設計 whatsapp 的安全協定，他在本周五發表了一篇洋洋灑灑、說理細緻的部落格文章，對衛報提出的質疑進行了反駁。

密碼學是一門專注于細節的、極其複雜的學科，概述性的文字通常都是錯誤的，但是關鍵是：消息收發系統必須知道使用者的消息确實發到了他想要傳遞消息的對象手中。

但是 whatsapp 認為，如果一名使用者改變了他的安全密鑰，它就可以向使用者發出警示資訊，而不是像某些消息應用那樣将改變安全密鑰的使用者完全攔截，它隻會發出一條如圖所示的警示資訊。

正是因為這樣的設定，導緻衛報對 whatsapp 的安全性提出了質疑。衛報懷疑政府部門也許可以通過 “中間人” 攻擊劫持一名使用者本想發給另一名使用者的消息。

馬林斯派克解釋說：“大多數端到端加密通訊系統都有一些類似于這種驗證方式的設定。”

中間人攻擊（man-in-the-middle attack，簡稱 “mitm攻擊”）是一種 “間接” 的入侵攻擊，這種攻擊模式是通過各種技術手段将受入侵者控制的一台計算機虛拟放置在網絡連接配接中的兩台通信計算機之間，這台計算機就稱為 “中間人”。然後入侵者把這台計算機模拟成一台或兩台原始計算機，使 “中間人” 能夠與原始計算機建立活動連接配接并允許其讀取或修改傳遞的資訊，然而兩個原始計算機使用者卻認為他們是在互相通信。通常，這種 “攔截資料——修改資料——發送資料” 的過程就被稱為 “會話劫持”（session hijack）。

馬裡斯派克說：“中間人攻擊特别适合用來對付公共密鑰密碼學，而不僅僅是 whatsapp。”

實際上，whatsapp 根據其可用性做了一項安全選擇，因為它有 10 億使用者，關閉使用者之間的會話可能會引起使用者的不滿。更糟的是，它可能會讓整個系統變得更不安全。密碼學家必須時時刻刻權衡利弊。

馬林斯派克說：“考慮到 whatsapp 使用者群的龐大規模和影響範圍，我們感覺他們選擇這種通知而非完全攔截的方式是恰當的。從透明和密碼學的角度來說，這樣做保證了每一位使用者的體驗和使用者通訊的隐私。如果選擇攔截的方式，有時候可能會讓事情變得更糟糕。那樣會将資訊洩露給伺服器，讓伺服器端知道誰開啟了這項功能而誰沒有開啟它，這實際上就是告訴伺服器誰有可能被用 ‘中間人攻擊’ 的方式攻破。在這方面，whatsapp 可是非常慎重的。”

如果你擔心通訊内容的隐私受到侵害，whatsapp 提供的解決方案仍然比其他可替代方案比如電報的安全性更優秀。然而，如果你特别在意安全性而對可用性的要求比較低，那麼不妨選擇 open whisper systems 的 signal 消息應用，這也是斯諾登（edward snowden）最喜愛的消息應用