【翻墙问答】WhatsApp二步认证变黑客漏洞
时间:2021-04-21 来源:rfa 作者: 条评论
即时通讯软件WhatsApp近日被发现二步认证设计不当,引发严重资安漏洞。
路透社资料图片
问:虽然二步认证在抵御黑客攻击时,扮演重要角色。但由于WhatsApp在二步认证设计不当,反而搞出重大漏洞出来,被发现的严重漏洞暂时并无办法预防。今集节目能否为大家介绍一下,这次脸书公司旗下的WhatsApp,出现了甚么重大的保安漏洞?
李建军:WhatsApp现时二步认证,是十分之依赖手机短信,有人发现,如果有黑客想你的WhatsApp无法运作,只要取得电话号码,不断输入错误的二步认证码,就足以令你的WhatsApp户口暂停。如果你再传电邮给脸书公司,声称户口被窃,就有可能立即被停用,并要向脸书公司解释,才可能重开户口。如果有人用另一部手机,做类似事情,但是针对你的手机号码,你有可能无预警的情况下,WhatsApp通讯突然中断,无法正常与朋友或客户沟通,单是这一点已经十分之烦。
问:其实短信二步认证已经有很多问题,为何脸书公司不能使用其他认证,例如二步认证编码程式,或者一些支援NFC的保安金钥?
李建军:现时很多使用保安金钥,或者二步认证编码程式的网站或服务,都是用于桌面、平板电脑上,所以你可以用手机扫QR码去做二步认证,或者将保安金钥插入USB埠做二步认证。但WhatsApp是以手机为本,就算你在桌面上用WhatsApp应用程式或网站,都要手机保持与互联网连结先做得到,一旦手机关闭,在桌面上的WhatsApp应用程式或网站亦会随即关闭。换言之,脸书公司必须面对一个完全以手机为本应用程式的保安问题。
很不幸,仍然有相当数目的手机未具备NFC功能,手机大部分亦插不了USB金钥,而二步认证编码程式在手机上使用,连结程序亦不可能像桌面程式上,手机扫QR码可以完成。因此,短信几乎变成唯一可以用的二步认证手段。好像Telegram的情况就更儿戏,因为Telegram是纯粹用多一个密码设定,就当成二步认证,如果有人以暴力方式解破密码,就几乎肯定会被攻陷,就连短信用的单次确认密码都及不上。
问:现时未知脸书公司何时解决WhatsApp这个由二次认证设计不当造成的保安漏洞,但长远而言,Signal、WhatsApp,以至Telegram的通讯软件都越来越重要,对香港和中国户就更明显。那要等到甚么时候,才会有相对安全的二步认证出现,防止手机落入黑客或政权手上后,造成个人敏感资料外泄?
李建军:相信要解决这个问题,比较可行的方案是NFC功能手机进一步普及后,利用NFC保安金钥做二步认证。当然,并不代表每一次进入Signal、WhatsApp或Telegram都要拍一拍保安金钥,那是十分之扰民的事。但使用者在进入个别十分之敏感内容时,可以要求先拍一拍保安金钥,例如一些涉及政治敏感内容、维权运动的讨论等等,都要必须拍一下保安金钥才能够看到,那当局或有心黑客要偷资料的难度就大增,亦不会有人可以遥距恶意令你的户口瘫痪。如果要他人看不到资料,除了将手机物理毁灭,亦可以将保安金钥毁灭或丢弃,这样就可以提升即时信息软件的安全度。
当然,针对一些十分之敏感的内容,其实WhatsApp提供的保安功能太少,Signal至少提供在指定时间内自动删除信息等功能,在某程度上,虽然WhatsApp可以进行点对点加密通讯,但实际上,如果要进行一些很私人或敏感的对话,Signal或Telegram相对比WhatsApp安全。因此,纵使在二步认证上,Telegram和Signal不见得比WhatsApp安全,但总体设计上,Telegram和Signal的安全度比WhatsApp为高,要考虑安全问题,不应只考虑二步认证,还要考虑总体因素。
