屢傳保安漏洞 WhatsApp 回應:仍然安全

WhatsApp 剛被 Facebook 收購後立即驚傳系統漏洞,WhatsApp 是否適宜機構作為即時通訊工具的安全性問題再次浮出水面。新創公司 DoubleThink 公司的技術總監(CTO)Bas Bosschert 發現,Android 版的 WhatsApp 應用存在一個安全漏洞,導致其他應用可以訪問和讀取用戶的所有聊天記錄。

經 SD 卡讀取數據

Bas Bosschert 已經將使用這一漏洞的方法發布上網,他還証實,在 Android 進行了最新一次重大升級後,該漏洞依然存在。漏洞的具體情況是,Android 版 WhatsApp 將所有的聊天記錄存儲在手機的 SD 卡上,但其他應用也會申請 SD 卡的訪問權限,一旦用戶批准,這些應用便可獲取 WhatsApp 的聊天記錄。而惡意應用則可以借助這一模式直接讀取 WhatsApp 的聊天數據庫。

 

問題源自 Android 權限

WhatsApp 缺乏加密數據庫功能的問題,一直為重視保安的商業機構所詬病,早前亦試過可在用戶使用 Wi-Fi 通訊的環境下,讓黑客截取未加密的通訊內容。在最近一次升級後,WhatsApp 已開始加密數據庫,無法再用 SQLite 打開。但 Bas Bosschert 宣稱還是可用自己的 Phython 腳本解密該數據庫。 但是 Bas Bosschert 也指出,是次保安問題並非只是 WhatsApp 的問題,而是與 Android 系統的安全問題有關,因在 Android 上任何應用都可獲得智能手機的全面存儲權限,並可讀取和上傳其他應用的數據庫。 相對於 Android 的開放系統,蘋果系統的封閉運行較能有效的防堵其他應用軟體讀取手機內的數據,Apple iOS 不允許應用訪問其自身沙盒之外的數據,從而避免了類似的情況發生。

 

WhatsApp 回應:正常使用仍然安全

針對是次漏洞問題, WhatsApp 的官方回應表示外間反應太大,而且指控並未如實反映事實。WhatsApp 表示非常重視私隱問題,只要用戶正常地使用,在 SD 卡上的數據是不會外洩的,但如果使用者本身中了病毒或安裝了惡意程式則會處於風險之中。所以 WhatsApp 呼籲使用者安裝最新版本的 WhatsApp 程序,並只從可靠的渠道(如官方 Google Play 市場)下載,最新版本的 WhatsApp 亦將會在下一個版本立即修正漏洞。

 

可選擇其他產品代替

針對 WhatsApp 容易外洩數據、機構難以管制員工使用的問題,坊間已有不少專為商業機構而設計的內部傳訊系統,機構可部署同類產品以代替 WhatsApp。機構可讓員工可自用的手機上安裝專用程式,即可用作內聯網的通訊工具使用,可在防止內部訊息外洩的前提下,加強外勤員工的溝通效率。