《卫报》指责WhatsApp设有后门 安全人员称报道不实

　　新浪科技讯 北京时间1月23日消息，上周，英国《卫报》刊文称移动即时通讯应用程序WhatsApp设有“后门”。文章引起许多人关注，由安全研究人员组成的第三方团体发表公开信，要求《卫报》撤回报道。

　　学术专家泽伊内普·图菲克希(Zeynep Tufekci)在公开信中表示：“很遗憾，你们的报道相当于在标题中写下‘疫苗杀人’这种耸人听闻的字眼，而报道的内容缺乏根据。”公开信还指责称，《卫报》的论断会对用造成危害。图菲克希说：“这是一个重大问题，你们如果没有采访大量的专家不应该刊发类似的报道。”图菲克希指出，《卫报》的报道可能会对WhatsApp用户造成影响，这点在Twitter平台已经可以感受到。

　　上周，WhatsApp在接受媒体采访时驳斥了报道，坚称自己的平台没有“后门”。WhatsApp在声明中表示：“WhatsApp没有向政府提供后门，让它们接入系统，如果有任何政府要求在平台植入后门，公司都会拒绝。《卫报》在报道中谈到的问题只是出于设计上的考虑，目的是防止信息丢失，WhatsApp会向用户发送安全通知，告诉他们可能存在的安全风险。”

　　Signal Protocol是一套开源、前向安全加密协议，被异步信息系统广泛采用。去年，协议的制定者马林斯帕客（Moxie Marlinspike）曾与WhatsApp携手合作，推出端到端加密系统，此举意味着WhatsApp的安全性大大提升。马林斯帕客在邮件中表示，《卫报》的报道“非常不准确”。

　　《卫报》的报道是以独立安全研究人员托拜厄斯·贝尔特（Tobias Boelter）的报告作为基础的，2016年4月，贝尔特在报告中指出，如果信息发送不成功，WhatsApp会生成新的加密密钥让离线用户观看内容。贝尔特认为，WhatsApp的技术存在“重发漏洞”，信息可能会被窃取。当密钥变更时，WhatsApp用户的确可以选择开启通知功能，只是当用户收到警告通知时消息早已发送。贝尔特由此认为系统存在安全风险。

　　贝尔特还说，撰写报告时曾向WhatsApp母公司Facebook通报过该问题，Facebook回应称这种情况是预料之中的事。

　　上周，WhatsApp澄清说密钥重发处理完全是出于设计考虑，在某些情况下，信息转移可能会丢失，密钥重发可以降低丢失的概率，例如，当用户换了新手机或者拿出SIM卡时可能会导致信息丢失。

　　安全团队则认为，WhatsApp的设计只是一个功能，不是漏洞。在公开信上签名的专家还有密码员布鲁斯·施奈尔（Bruce Schneier）、Tor Project成员伊希斯·莱迈克拉夫特（Isis Lovecruft）、安全研究员Thaddeus T. ‘Grugq’、Mozilla安全专家凯瑟琳·麦金利（Katherine McKinley）等。

　　开公信写道：“如果我们将信息的可靠信放在优先位置，当手机或者SIM卡更换时，WhatsApp采用密钥更换技术重发未读信息是可以接受的，这是一种权宜之计。”在密钥重发之时被拦截的风险很小，不太可能构成威胁。

　　《卫报》新闻媒体发言人在声明中回应称：“我们刊发了一系列报道，重点讨论WhatsApp存在的漏洞以及它可能造成的影响，这个漏洞已经被确认。在刊发文章之前，我们联系过WhatsApp，它们的回应也写进了文章，在文章发布之后，我们还收到了WhatsApp的评论，该评论也已经公开。虽然坚信自己的报道是正确的，我们还是对‘后门’这一术语的使用作了修改，并在文章注解中强调这点。我们已经看到泽伊内普·图菲克希的公开信，还让他为《卫报》写一篇回应文章。这一邀请仍然有效，对于争论我们持欢迎态度。”

　　在公开信发表之前，《卫报》已经修改文章，标题没有使用“后门”这一说法，换上了“漏洞”。编辑还在文章最后解释了修改的原因：“WhatsApp发来了最新声明，它说没有向政府提供‘后门’，让政府接入系统，因此我们本文作了修改。”（张看）