【51CTO.com快譯】有證據(jù)表明：有多個國家的不同級別(主要是部級以上)政府官員正頻繁遭受到各類黑客軟件、勒索軟件、以及下文將要提到的Pegasus軟件的窺探。這些攻擊已經(jīng)造成了以美國為首的、其各個同盟國的絕密信息的泄露。

與此同時，一份來自WhatsApp組織內(nèi)部的調(diào)查表明：此類安全攻擊的受害者主要分布在全球五大洲、20多個國家的高級政府和軍方官員。

由于此類報告具有一定的說服力，因此許多國家的政府都在計劃構(gòu)建自己的聊天應用程序，以用于政府高層之間的安全通信與合作。

WhatsApp的過往安全事件

2019年，多倫多大學的Citizen實驗室(請參見https://www.bbc.com/news/technology-50249859)證實，至少有20個國家的上百名人權(quán)人士、以及記者曾遭受過黑客有針對性的、以WhatsApp用戶為目標的攻擊。另外，WhatsApp中的某個漏洞曾經(jīng)允許攻擊者在人們的智能手機上，注入以色列間諜(Israeli spyware)軟件。此類安全漏洞與事件不一而足，它們足以促使各國政府著手啟用自己的安全消息平臺。

WhatsApp存在的安全缺陷

在最近的一次公開演講中，某位有著處置政府安全威脅經(jīng)驗的前政府官員曾向大家解釋道：像Pegasus之類的軟件往往被用來窺探WhatsApp上的各種聊天對話。而WhatsApp自身存在的安全缺陷包括：

• 其元數(shù)據(jù)暴露了會話的發(fā)送方、發(fā)送時間、通信時長、以及通信地點。這些消息往往被集中式地存儲在某個數(shù)據(jù)中心。
• WhatsApp的默認用戶協(xié)議，是允許WhatsApp對于用戶輸入的個人信息采取任何操作的。
• 智能手機的屏幕捕獲功能使得安全問題變得更加糟糕，而且用戶可以輕松地將屏幕截圖共享到其他應用程序上。
• 端到端的加密方式(End-to-end encryption)已不再是最為安全的系統(tǒng)。隨著黑客技術(shù)水平的不斷迭代，它們足以解密WhatsApp中的任何加密消息。

上述羅列的是WhatsApp不適合官方通信的一些基本缺陷。這些缺陷同樣值得各國政府在構(gòu)建自己的即時消息應用、以替代WhatsApp時謹慎考慮。

WhatsApp的端到端加密不再是最安全的

一直以來，F(xiàn)acebook旗下的WhatsApp都使用著端到端加密，這種較為先進的加密技術(shù)，來保護一對一的聊天對話。不過實踐證明，該方式對于信息機密性的保護對于當前的黑客技術(shù)來說已經(jīng)“弱爆”了。

在開始實際行動之前，讓我們先來探究一下端到端加密的原理。從本質(zhì)上說，我們在從服務器端發(fā)送消息時，會將整個數(shù)據(jù)、消息、以及多媒體流轉(zhuǎn)換為不可被追蹤的數(shù)據(jù)塊。任何消息從發(fā)送方服務器傳輸?shù)娇蛻舳朔掌鞯恼麄€過程，都處于被私鑰加密的狀態(tài)中。

下圖展示了一條消息從設(shè)備直接進入服務器，到最終抵達客戶端設(shè)備的整個端到端加、解密過程。

在聯(lián)邦調(diào)查局的最近一次調(diào)查中，他們發(fā)現(xiàn)WhatsApp和Signal所加密的消息能夠被Pegasus軟件和其他技術(shù)成功解密出來。因此，F(xiàn)BI特工能夠輕松地記錄下平臺用戶之間所傳遞的各種信息，當然這些只是為了調(diào)查的目的。除了端到端加密，那些世界頂尖的安全消息傳輸方案商們還會提供諸如OMEMO、以及Rattlesnake OS等其他協(xié)議的應用服務。

印度將創(chuàng)建自己的WhatsApp

在擁有著4億用戶龐大市場的印度，其政府正在構(gòu)建一個安全的消息傳輸平臺，以中繼政府雇員之間的各類通信。

不過，由于此類通信的保密性一直尚存在問題，因此該平臺一直處于試點測試之中。有消息稱：為了提高信息的保密性，印度電子和信息技術(shù)部(the ministry of electronics and information technology，MeitY)正在某個至今尚未推出和命名的消息平臺上進行著各種測試。

法國與中國的舉措

法國政府也開發(fā)并推出了自己的安全消息應用—Tchap(請參見https://www.zdnet.com/article/french-government-releases-in-house-im-app-to-replace-whatsapp-and-telegram-use/)。目前，這款應用程序主要是為Android和iOS平臺所開發(fā)的。它有著獨特的加密功能，可供法國政府官員相互之間開展聊天等應用。當然，該應用也仍在深入測試之中。

與法國政府類似，中國政府也限制了在國內(nèi)使用WhatsApp(請參見https://www.nytimes.com/2017/09/25/business/china-whatsapp-blocked.html)，以及使用其他美國版本的應用程序去處置某些核心的安全事務。

全球消息傳輸方案提供商的機會

由于WhatsApp當前仍是大多數(shù)國家的官方聊天應用，因此保護敏感消息的機密性始終是每個政府部門所關(guān)注的焦點。

隨著越來越多國家和地區(qū)開始重視安全漏洞問題，并嚴控數(shù)據(jù)的可訪問性，它們趨向與MirrorFly之類的企業(yè)級消息傳輸方案提供商合作，以開發(fā)出定制的安全聊天類應用程序。

總論

綜上所述，要想全面地管控自己的消息應用程序和服務，并最小化黑客與窺探者的潛在攻擊風險，我們需要開發(fā)出更為安全的加密標準。例如：被廣泛地運用在軍事機構(gòu)消息傳輸中的Rattlesnake OS協(xié)議。鑒于上述觀點，為了確保加快數(shù)據(jù)的本地化，防止政府相關(guān)消息在交換過程中出現(xiàn)泄露，各國政府都在積極籌備構(gòu)建自己的聊天平臺，以避免使用WhatsApp(甚至是微信)之類的全球化聊天平臺。

原文標題：Why Governments Planning To Build a Chat Platform Alternative to WhatsApp?，作者：Parthiba kumar

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】