某以色列公司宣稱破解了WhatsApp加密通信
責(zé)編:mhshi |2016-10-10 16:03:31WhatsApp在很多人眼里面都是非常安全的一款社交軟件。在今年八月份,WhatsApp還增加了自己的加密協(xié)議,以此來預(yù)防黑客攻擊。然而來自福布斯雜志的消息,最近WhatsApp的安全性卻被以色列的一家監(jiān)控公司狠狠地“打臉”。Wintego公司最近開發(fā)出一款新設(shè)備,根據(jù)其宣傳手冊所描述,這個設(shè)備可以監(jiān)聽附近WhatsApp的全部交流數(shù)據(jù),并且對其進行解密。
Wintego開發(fā)的、用于破解WhatApp加密通訊的是個叫CatchApp的東西——據(jù)說它具備“前所未有的能力”,能從目標WhatsApp賬戶上獲取到“所有信息”,而且還支持絕大部分版本的WhatsApp應(yīng)用。
文檔中有提到,CatchApp的具體功能是通過一臺WINT設(shè)備實現(xiàn)的——WINT設(shè)備可以塞進背包中;WINT“數(shù)據(jù)提取解決方案”能夠獲取到“目標電子郵件賬戶、聊天會話、社交網(wǎng)絡(luò)資料、詳細的聯(lián)系人列表,文件,照片,web瀏覽活動等全部內(nèi)容”。
據(jù)說WINT的Cyber Data Extractor網(wǎng)絡(luò)數(shù)據(jù)提取器能夠搞定“很多web賬戶與應(yīng)用的加密和安全方案”,獲取其身份憑證信息。針對像WhatsApp(可能還有Facebook Messenger、Google Allo等)這樣的聊天應(yīng)用,提取器能夠“從應(yīng)用中偷竊安全數(shù)據(jù)”。
Wintego宣稱,WINT首先通過WiFi中間人攻擊來訪問到設(shè)備——不管是開放的WiFi網(wǎng)絡(luò),還是私密網(wǎng)絡(luò);采用4個獨立的Wi-Fi AP來追蹤多個目標,另外因為還高增益天線,所以操作起來在一定距離內(nèi)都會比較穩(wěn)定。
相對比較早期的Wintego文檔可以追溯到2013年,而下面這些則據(jù)說是這家公司市場部門近期才做出來的,對其服務(wù)有相對詳細的闡述。福布斯雜志在報道中提到,他們的消息源是在今年的某次警務(wù)活動中看到這個產(chǎn)品小冊子的,但圖片中的這本手冊具體來源未知。
安全專家則認為,這事兒其實很不靠譜,Wintego的這個設(shè)備應(yīng)該沒法達到其宣傳的效果——這家公司的技術(shù)不大可能破解WhatsApp。安全專家Jonathan Zdziarski就說:“我猜測他們應(yīng)該是利用了一些SSL實施中的漏洞。”
實際上早在2014年,WhatsApp就開始用Singal協(xié)議了,并不涉及SSL——其他不少聊天應(yīng)用倒是還在用SSL。Johns Hopkins信息安全研究院的副教授和密碼學(xué)專家Matthew Green認為,CatchApp有可能是個惡意程序,將WiFi連接作為攻擊方式,但即便如此要搞定當(dāng)前WhatsApp的協(xié)議也是不大可能的。Green對于Signal代碼似乎非常贊賞:“就算用Wi-Fi AP,要搞定端到端Signal加密也不大可能。”
目前WhatsApp和Signal幕后的加密專家們,并不想就此事發(fā)表任何評論,因為有關(guān)這款工具的細節(jié)信息都并未披露。
這本手冊本身在內(nèi)容方面也不怎么靠譜。比如其中有提到WhatsApp的用戶數(shù)目大約是80萬——從消息源來看,這本手冊至少是在2015年4月之后出現(xiàn)的,我們知道2016年2月份,WhatsApp公布的用戶數(shù)量是10億,這兩個數(shù)字相差得也是相當(dāng)懸殊。
關(guān)于Wintego
Wintego公司的臉面應(yīng)該是Yuval Luria。此人最近才在布拉格舉行的ISS World Traning大會上做過演講,題為《A Hybrid Tactical-Strategic Approach for Extracting Cyber Intelligence》。而這家公司的負責(zé)人應(yīng)該是Nhevo Kaufman——最早于2011年建立的公司網(wǎng)站。
不過這兩位都沒有在LinkedIn中表明他們與Wintego公司的關(guān)系。Luria甚至沒有在自己的資料中提到任何公司;而Kaufman則在資料中寫了自己是NK Business Ventures(NK-BV)的CEO,而這家公司本身就沒有網(wǎng)站,公開的信息也非常少。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧