建制派WhatsApp對話外洩,引來全城熱話。《蘋果》委託資訊保安公司測試市面上6款熱門手機通訊Apps的保安功能,包括WhatsApp、Telegram、Facebook Messenger、LINE、WeChat及Skype。用家經手機發訊時,6種Apps均會以較強的TLS、甚至獨立的加密算式(protocol)「加密」後才發出,故即使在傳送過程中被黑客截取,對方也因未能解密,只看到一堆亂碼,不能將訊息還原。但如改以網頁版登入使用,加密功能即會被大幅削弱。手機若被暗中植入間碟程式,則可完全無視所有Apps的保安及加密功能,全天候截取手機所有通訊。
記者:梁御和
資訊保安公司Nexusguard Consulting的安全研究員謝輝輝指,一般透過手機及電腦發出的短訊均會傳到Apps的伺服器,再轉予接收者。是次測試模擬黑客先設立偽冒的免費Wifi熱點,引誘用家登入使用,再趁他們以6款通訊Apps發訊時,嘗試在中途截取訊息。
不過上述Apps用戶以電腦登入網頁版發訊時就出現很大問題。檢測發現,6種Apps中以LINE的保密性能最強,手機版或網頁版均使用獨立的加密算式,確保用戶發出的訊息難以被第三者破解讀取。除LINE以外,其餘所有Apps的網頁版,加密功能均被削弱。當中WeChat、Skype及Facebook Messenger發出的文字、照片、甚至檔案均全被輕易截獲、破解後再讀取;Facebook Messenger則更嚴重,連用家的朋友清單、朋友照片(profile picture),甚至相簿也一併全被讀取。
至於網頁版WhatsApp發出的照片則同樣可被讀取,文字訊息的加密程度則較強,無法被破解;Telegram更進一步,文字及照片均無法被破解。不過,由於兩個Apps的網頁版均設有Google拼寫檢查功能(Spelling Check),用家輸入對話內容同時,系統會將整段文字上載至Google作檢查,黑客也可借此趁文字對話在未被加密前全數截取。
Nexusguard Consulting行政總裁龐博文解釋,手機版的通訊Apps供用家在不同地方流動使用,故均預設使用保安性能較強TLS或獨立加密技術。惟部份Apps在開發網頁版時,卻未有將同一加密技術套用,反而改以傳統網頁常用、安全性較低的SSL加密技術,故在截取後被輕易破解。
【相關新聞】
樹根仲搵緊保密Apps 家怡BB:重要嘢打電話
http://bit.ly/1fcGVqK
鍾意就快D Share啦!
|
|