【51CTO.com快譯】有證據(jù)表明：有多個(gè)國家的不同級別(主要是部級以上)政府官員正頻繁遭受到各類黑客軟件、勒索軟件、以及下文將要提到的Pegasus軟件的窺探。這些攻擊已經(jīng)造成了以美國為首的、其各個(gè)同盟國的絕密信息的泄露。

與此同時(shí)，一份來自WhatsApp組織內(nèi)部的調(diào)查表明：此類安全攻擊的受害者主要分布在全球五大洲、20多個(gè)國家的高級政府和軍方官員。

由于此類報(bào)告具有一定的說服力，因此許多國家的政府都在計(jì)劃構(gòu)建自己的聊天應(yīng)用程序，以用于政府高層之間的安全通信與合作。

WhatsApp的過往安全事件

2019年，多倫多大學(xué)的Citizen實(shí)驗(yàn)室(請參見https://www.bbc.com/news/technology-50249859)證實(shí)，至少有20個(gè)國家的上百名人權(quán)人士、以及記者曾遭受過黑客有針對性的、以WhatsApp用戶為目標(biāo)的攻擊。另外，WhatsApp中的某個(gè)漏洞曾經(jīng)允許攻擊者在人們的智能手機(jī)上，注入以色列間諜(Israeli spyware)軟件。此類安全漏洞與事件不一而足，它們足以促使各國政府著手啟用自己的安全消息平臺。

WhatsApp存在的安全缺陷

在最近的一次公開演講中，某位有著處置政府安全威脅經(jīng)驗(yàn)的前政府官員曾向大家解釋道：像Pegasus之類的軟件往往被用來窺探WhatsApp上的各種聊天對話。而WhatsApp自身存在的安全缺陷包括：

• 其元數(shù)據(jù)暴露了會(huì)話的發(fā)送方、發(fā)送時(shí)間、通信時(shí)長、以及通信地點(diǎn)。這些消息往往被集中式地存儲在某個(gè)數(shù)據(jù)中心。
• WhatsApp的默認(rèn)用戶協(xié)議，是允許WhatsApp對于用戶輸入的個(gè)人信息采取任何操作的。
• 智能手機(jī)的屏幕捕獲功能使得安全問題變得更加糟糕，而且用戶可以輕松地將屏幕截圖共享到其他應(yīng)用程序上。
• 端到端的加密方式(End-to-end encryption)已不再是最為安全的系統(tǒng)。隨著黑客技術(shù)水平的不斷迭代，它們足以解密WhatsApp中的任何加密消息。

上述羅列的是WhatsApp不適合官方通信的一些基本缺陷。這些缺陷同樣值得各國政府在構(gòu)建自己的即時(shí)消息應(yīng)用、以替代WhatsApp時(shí)謹(jǐn)慎考慮。

WhatsApp的端到端加密不再是最安全的

一直以來，F(xiàn)acebook旗下的WhatsApp都使用著端到端加密，這種較為先進(jìn)的加密技術(shù)，來保護(hù)一對一的聊天對話。不過實(shí)踐證明，該方式對于信息機(jī)密性的保護(hù)對于當(dāng)前的黑客技術(shù)來說已經(jīng)“弱爆”了。

在開始實(shí)際行動(dòng)之前，讓我們先來探究一下端到端加密的原理。從本質(zhì)上說，我們在從服務(wù)器端發(fā)送消息時(shí)，會(huì)將整個(gè)數(shù)據(jù)、消息、以及多媒體流轉(zhuǎn)換為不可被追蹤的數(shù)據(jù)塊。任何消息從發(fā)送方服務(wù)器傳輸?shù)娇蛻舳朔?wù)器的整個(gè)過程，都處于被私鑰加密的狀態(tài)中。

下圖展示了一條消息從設(shè)備直接進(jìn)入服務(wù)器，到最終抵達(dá)客戶端設(shè)備的整個(gè)端到端加、解密過程。

在聯(lián)邦調(diào)查局的最近一次調(diào)查中，他們發(fā)現(xiàn)WhatsApp和Signal所加密的消息能夠被Pegasus軟件和其他技術(shù)成功解密出來。因此，F(xiàn)BI特工能夠輕松地記錄下平臺用戶之間所傳遞的各種信息，當(dāng)然這些只是為了調(diào)查的目的。除了端到端加密，那些世界頂尖的安全消息傳輸方案商們還會(huì)提供諸如OMEMO、以及Rattlesnake OS等其他協(xié)議的應(yīng)用服務(wù)。

印度將創(chuàng)建自己的WhatsApp

在擁有著4億用戶龐大市場的印度，其政府正在構(gòu)建一個(gè)安全的消息傳輸平臺，以中繼政府雇員之間的各類通信。

不過，由于此類通信的保密性一直尚存在問題，因此該平臺一直處于試點(diǎn)測試之中。有消息稱：為了提高信息的保密性，印度電子和信息技術(shù)部(the ministry of electronics and information technology，MeitY)正在某個(gè)至今尚未推出和命名的消息平臺上進(jìn)行著各種測試。

法國與中國的舉措

法國政府也開發(fā)并推出了自己的安全消息應(yīng)用—Tchap(請參見https://www.zdnet.com/article/french-government-releases-in-house-im-app-to-replace-whatsapp-and-telegram-use/)。目前，這款應(yīng)用程序主要是為Android和iOS平臺所開發(fā)的。它有著獨(dú)特的加密功能，可供法國政府官員相互之間開展聊天等應(yīng)用。當(dāng)然，該應(yīng)用也仍在深入測試之中。

與法國政府類似，中國政府也限制了在國內(nèi)使用WhatsApp(請參見https://www.nytimes.com/2017/09/25/business/china-whatsapp-blocked.html)，以及使用其他美國版本的應(yīng)用程序去處置某些核心的安全事務(wù)。

全球消息傳輸方案提供商的機(jī)會(huì)

由于WhatsApp當(dāng)前仍是大多數(shù)國家的官方聊天應(yīng)用，因此保護(hù)敏感消息的機(jī)密性始終是每個(gè)政府部門所關(guān)注的焦點(diǎn)。

隨著越來越多國家和地區(qū)開始重視安全漏洞問題，并嚴(yán)控?cái)?shù)據(jù)的可訪問性，它們趨向與MirrorFly之類的企業(yè)級消息傳輸方案提供商合作，以開發(fā)出定制的安全聊天類應(yīng)用程序。

總論

綜上所述，要想全面地管控自己的消息應(yīng)用程序和服務(wù)，并最小化黑客與窺探者的潛在攻擊風(fēng)險(xiǎn)，我們需要開發(fā)出更為安全的加密標(biāo)準(zhǔn)。例如：被廣泛地運(yùn)用在軍事機(jī)構(gòu)消息傳輸中的Rattlesnake OS協(xié)議。鑒于上述觀點(diǎn)，為了確保加快數(shù)據(jù)的本地化，防止政府相關(guān)消息在交換過程中出現(xiàn)泄露，各國政府都在積極籌備構(gòu)建自己的聊天平臺，以避免使用WhatsApp(甚至是微信)之類的全球化聊天平臺。

原文標(biāo)題：Why Governments Planning To Build a Chat Platform Alternative to WhatsApp?，作者：Parthiba kumar

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】