【51CTO.com快译】有证据表明:有多个国家的不同级别(主要是部级以上)政府官员正频繁遭受到各类黑客软件、勒索软件、以及下文将要提到的Pegasus软件的窥探。这些攻击已经造成了以美国为首的、其各个同盟国的绝密信息的泄露。
与此同时,一份来自WhatsApp组织内部的调查表明:此类安全攻击的受害者主要分布在全球五大洲、20多个国家的高级政府和军方官员。
由于此类报告具有一定的说服力,因此许多国家的政府都在计划构建自己的聊天应用程序,以用于政府高层之间的安全通信与合作。
WhatsApp的过往安全事件
2019年,多伦多大学的Citizen实验室(请参见https://www.bbc.com/news/technology-50249859)证实,至少有20个国家的上百名人权人士、以及记者曾遭受过黑客有针对性的、以WhatsApp用户为目标的攻击。另外,WhatsApp中的某个漏洞曾经允许攻击者在人们的智能手机上,注入以色列间谍(Israeli spyware)软件。此类安全漏洞与事件不一而足,它们足以促使各国政府着手启用自己的安全消息平台。
WhatsApp存在的安全缺陷
在最近的一次公开演讲中,某位有着处置政府安全威胁经验的前政府官员曾向大家解释道:像Pegasus之类的软件往往被用来窥探WhatsApp上的各种聊天对话。而WhatsApp自身存在的安全缺陷包括:
- 其元数据暴露了会话的发送方、发送时间、通信时长、以及通信地点。这些消息往往被集中式地存储在某个数据中心。
- WhatsApp的默认用户协议,是允许WhatsApp对于用户输入的个人信息采取任何操作的。
- 智能手机的屏幕捕获功能使得安全问题变得更加糟糕,而且用户可以轻松地将屏幕截图共享到其他应用程序上。
- 端到端的加密方式(End-to-end encryption)已不再是最为安全的系统。随着黑客技术水平的不断迭代,它们足以解密WhatsApp中的任何加密消息。
上述罗列的是WhatsApp不适合官方通信的一些基本缺陷。这些缺陷同样值得各国政府在构建自己的即时消息应用、以替代WhatsApp时谨慎考虑。
WhatsApp的端到端加密不再是最安全的
一直以来,Facebook旗下的WhatsApp都使用着端到端加密,这种较为先进的加密技术,来保护一对一的聊天对话。不过实践证明,该方式对于信息机密性的保护对于当前的黑客技术来说已经“弱爆”了。
在开始实际行动之前,让我们先来探究一下端到端加密的原理。从本质上说,我们在从服务器端发送消息时,会将整个数据、消息、以及多媒体流转换为不可被追踪的数据块。任何消息从发送方服务器传输到客户端服务器的整个过程,都处于被私钥加密的状态中。
下图展示了一条消息从设备直接进入服务器,到最终抵达客户端设备的整个端到端加、解密过程。
在联邦调查局的最近一次调查中,他们发现WhatsApp和Signal所加密的消息能够被Pegasus软件和其他技术成功解密出来。因此,FBI特工能够轻松地记录下平台用户之间所传递的各种信息,当然这些只是为了调查的目的。除了端到端加密,那些世界顶尖的安全消息传输方案商们还会提供诸如OMEMO、以及Rattlesnake OS等其他协议的应用服务。
印度将创建自己的WhatsApp
在拥有着4亿用户庞大市场的印度,其政府正在构建一个安全的消息传输平台,以中继政府雇员之间的各类通信。
不过,由于此类通信的保密性一直尚存在问题,因此该平台一直处于试点测试之中。有消息称:为了提高信息的保密性,印度电子和信息技术部(the ministry of electronics and information technology,MeitY)正在某个至今尚未推出和命名的消息平台上进行着各种测试。
法国与中国的举措
法国政府也开发并推出了自己的安全消息应用—Tchap(请参见https://www.zdnet.com/article/french-government-releases-in-house-im-app-to-replace-whatsapp-and-telegram-use/)。目前,这款应用程序主要是为Android和iOS平台所开发的。它有着独特的加密功能,可供法国政府官员相互之间开展聊天等应用。当然,该应用也仍在深入测试之中。
与法国政府类似,中国政府也限制了在国内使用WhatsApp(请参见https://www.nytimes.com/2017/09/25/business/china-whatsapp-blocked.html),以及使用其他美国版本的应用程序去处置某些核心的安全事务。
全球消息传输方案提供商的机会
由于WhatsApp当前仍是大多数国家的官方聊天应用,因此保护敏感消息的机密性始终是每个政府部门所关注的焦点。
随着越来越多国家和地区开始重视安全漏洞问题,并严控数据的可访问性,它们趋向与MirrorFly之类的企业级消息传输方案提供商合作,以开发出定制的安全聊天类应用程序。
总论
综上所述,要想全面地管控自己的消息应用程序和服务,并最小化黑客与窥探者的潜在攻击风险,我们需要开发出更为安全的加密标准。例如:被广泛地运用在军事机构消息传输中的Rattlesnake OS协议。鉴于上述观点,为了确保加快数据的本地化,防止政府相关消息在交换过程中出现泄露,各国政府都在积极筹备构建自己的聊天平台,以避免使用WhatsApp(甚至是微信)之类的全球化聊天平台。
原文标题:Why Governments Planning To Build a Chat Platform Alternative to WhatsApp?,作者:Parthiba kumar
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】