WhatsApp 服务器存有漏洞，隐私信息易泄露

有报告称，WhatsApp短信群发功能存在漏洞。WhatsApp 及其底层信息传递技术的创始人对此表示怀疑质疑。

上周，来自德国波鸿鲁尔大学的一支团队发表了一篇学术论文，指出WhatsApp群发消息功能的漏洞。此外，他们还声称也发现了Signal的一个漏洞，但其严重程度与WhatsApp的漏洞相比，较轻。

该漏洞允许控制WhatsApp服务器的人，从服务器端把人员加入至秘密群组，并读取加密群消息中的隐私信息等。秘密群组的保密性因此变得不存在，端至端加密保护的功能，在这情况也会变得毫无意义了。

正常情况下，WhatsApp 的私密群组就只有群组管理员能新增成员，但目前却没有一个验证邀请的机制。

人们的担忧主要是：一、这种技术，使WhatsApp可能会迫于政府压力，窃取群内的机密对话。二、如果攻击者可以控制WhatsApp的服务器，那么他们也可能窃听人们的聊天记录。

WhatsApp，支持端到端加密，是基于开放式耳语系统开发的高度重视的信号协议的安全消息传递平台。于2014年被Facebook收购。

该论文声称如果攻击者控制了WhatsApp 服务器或打破了安全传输层协议，那便可以完全控制聊天小组。然后悄无声息的在聊天组里重新组织信息或发送信息。那也就意味着，攻击者可以隐藏群里发送的消息，首先读取群消息，还能决定这些消息发送给其他成员的顺序。

更重要的是，WhatsApp 服务器的管理员承认可以屏蔽“通知有新成员加入该小组”的群管理消息。

Marlinspike 称：“若有人加入小组，那所有的小组成员都会知道，想要拦截这个消息门儿都没有。”

WhatsApp 在一个公告中称：“我们已经仔细研究了这个问题，若有新成员加入，群中的成员会收到通知。即使黑客已经有管理员权限，并控制了这个组，他们也不能在群里‘藏’一个人。”

一位解密员Green称造成这个问题的原因主要是由于标准信号协议对于群组消息传递不太有效。因为它没有针对向多用户广播消息的情况而进行优化。

幸运的是，这个漏洞仅限于拥有管理员权限的 WhatsApp 员工才可以做到这事情，所以只要 WhatsApp 方面没有这个意思的话，大家的群组对话也不是那么容易就被窥视到。

研究人员提出了一些修复方法，如只允许小组管理员签名管理信息等。