WhatsApp漏洞可能允许“潜在攻击者”监视加密的群组聊天

考虑针对三种类型的攻击者提供保护—；恶意用户、网络攻击者和恶意服务器—；端到端加密协议在保护即时消息服务方面起着至关重要的作用。

端到端加密的主要目的是停止信任中间服务器，使任何人，甚至连传输数据的公司或服务器都无法解密您的消息或滥用其集中位置来操纵服务。

依次为单词—；假设最坏的情况是—；腐败的公司员工不应以任何方式窃听端到端加密通信。

然而，到目前为止，即使是流行的端到端加密消息服务，如WhatsApp、Threema和Signal，也没有完全实现零知识系统。

德国波鸿大学（Ruhr Universität Bochum）的研究人员发现，任何控制WhatsApp/信号服务器的人都可以秘密地向任何私人群组添加新成员，允许他们监视群组对话，即使没有管理员的许可。

正如研究人员所描述的，在成对通信（只有两个用户相互通信）中，服务器的作用有限，但在多用户聊天（群聊，其中加密消息被广播给许多用户）中，服务器的作用增加，以管理整个过程。

这就是问题所在，即信任公司的服务器来管理组成员（他们最终可以完全访问组对话）及其行为。

正如最近发表的一篇名为“多多少少：关于Signal、WhatsApp和Threema中群聊的端到端安全性，”由于Signal和WhatsApp都无法正确验证谁正在向组中添加新成员，因此未经授权的人可能会—；不是集团管理员，甚至不是集团成员—；将某人添加到群聊中。

另外？如果您想知道向组中添加新成员会向其他成员显示视觉通知，则情况并非如此。

根据研究人员的说法，有权访问服务器的受攻击的管理员或流氓员工可能会操纵（或阻止）本应提醒组成员新成员的组管理消息。

“所描述的弱点使控制WhatsApp服务器或破坏传输层安全的攻击者能够完全控制一个组。然而，进入该组会留下痕迹，因为该操作列在图形用户界面中。WhatsApp服务器因此可以利用这样一个事实，即它可以秘密地重新排序和删除报纸上写道：“团队中的信息。”。

“因此，WhatsApp服务器可以缓存发送给该组的消息，首先读取它们的内容，并决定它们发送给成员的顺序。此外，WhatsApp服务器可以将这些消息单独转发给成员，这样精心选择的消息组合可以帮助它覆盖跟踪。”

WhatsApp承认了这个问题，但认为如果任何新成员加入到一个组中，比如说任何人，其他组成员肯定会得到通知。

WhatsApp发言人告诉Wired：“我们仔细研究了这个问题。当新用户加入WhatsApp群组时，会通知现有成员。我们构建了WhatsApp，这样群组消息就不能发送给隐藏的用户。”。

“我们用户的隐私和安全对WhatsApp极其重要。这就是为什么我们收集的信息很少，所有在WhatsApp上发送的消息都是端到端加密的。”

但是，如果你不是一个有非常精选成员的群体的一部分，我相信你们中的许多人会相对容易地忽略这些通知。

研究人员还建议公司通过添加身份验证机制来解决这个问题，以确保“已签名”的群管理消息只来自群管理员。

然而，这种攻击不容易执行（法律压力下的例外—；服务），因此用户不应该担心。