http://hk.apple.nextmedia.com/realtime/news/20150705/53933399
来自香港的研究 包含一下用语 内容资讯蛮实用的
建制派WhatsApp对话外泄,引来全城热话。《苹果》委托资讯保安公司测试市面上6款热门
手机通讯Apps的保安功能,结果发现用户以手机发讯时,讯息均会被加密,难以截取;不过
如改以网页版登入使用,加密功能即会被大幅削弱,无论是用户资料、文字讯息、传送的图
片也可轻易被截取。手机若被暗中植入间碟程式,则可完全无视所有Apps的保安及加密功能
,全天候截取手机所有通讯。
记者:梁御和
资讯保安公司Nexusguard Consulting的安全研究员谢辉辉指,一般透过手机及电脑发出的
短信均会传到Apps的服务器,再转予接收者。是次测试模拟黑客先设立伪冒的免费Wifi热点
,引诱用家登入使用,再趁他们以WhatsApp、Telegram、Facebook Messenger、LINE、
WeChat及Skype等6款热门通讯Apps发讯时,尝试在中途截取讯息。
结果发现,用家经手机发讯时,6种Apps均会以较强的TLS、甚至独立的加密算式(protocol
)“加密”后才发出,故即使在传送过程中被黑客截取,对方也因未能解密,只看到一堆乱
码,不能将讯息还原。
不过上述Apps除以手机使用外,用户也可以电脑登入网页版发讯。惟检测发现,除LINE以外
,其余所有Apps的网页版,加密功能均被削弱。当中WeChat、Skype及Facebook Messenger
发出的文字、照片、甚至档案均全被轻易截获、破解后再读取;Facebook Messenger则更严
重,连用家的朋友清单、朋友照片(profile picture),甚至相簿也一并全被读取。
至于网页版WhatsApp发出的照片则同样可被读取,文字讯息的加密程度则较强,无法被破解
;Telegram更进一步,文字及照片均无法被破解。不过,由于两个Apps的网页版均设有
Google拼写检查功能(Spelling Check),用家输入对话内容同时,系统会将整段文字上载
至Google作检查,黑客也可借此趁文字对话在未被加密前全数截取。
Nexusguard Consulting行政总裁庞博文解释,手机版的通讯Apps供用家在不同地方流动使
用,故均默认使用保安性能较强TLS或独立加密技术。惟部份Apps在开发网页版时,却未有
将同一加密技术套用,反而改以传统网页常用、安全性较低的SSL加密技术,故在截取后被
轻易破解。
另外,如用家手机被安装间碟程式,则不论Apps的保安功能多强,也会被全天候截取所有通
讯。研究员即场展示一部被安装间碟程式“ikeymonitor”的iPhone,可纪录手机键盘所有
输入内容,甚至默认每30秒撷取一次手机的萤幕画面,再转发予黑客自由存取。
※注:有电视或媒体有报导者,请勿使用爆卦! 违者视为新闻篇数 超贴新闻劣退