WhatsApp對加密技術的應用大幅提升了用戶隱私保護水平,但這款熱門即時通訊應用的架構設計,也讓用戶面臨另一類客戶端威脅。
這一觀點來自加密貨幣錢包公司Zengo的聯合創始人兼首席技術官Tal Be'ery。他指出,WhatsApp之所以持續成為攻擊者的首要目標,並非因為其安全機制存在固有缺陷,而是因為其龐大的用戶規模和所保護數據的高價值。
"WhatsApp是即時通訊領域的絕對霸主,擁有超過30億用戶,覆蓋全球各個地區。"Be'ery在新加坡Black Hat Asia 2026大會上發表演講時表示,正如劫匪盯上銀行是為了錢,黑客攻擊WhatsApp也是為了數據。
Be'ery解釋說,WhatsApp於2016年基於開源Signal協議引入端對端加密,是一次重大的安全升級。由於消息在發送方設備上完成加密,只能在接收方設備上解密,WhatsApp的伺服器無法讀取消息內容。
因此,伺服器實際上充當了一條"啞管道",只負責傳遞加密消息,無法檢查內容、識別惡意流量,也無法干預單個會話。這降低了大規模監控的風險,也使伺服器對攻擊者的吸引力大為降低。
然而,這種設計帶來了新的權衡。"WhatsApp是在一隻手被綁住的情況下作戰,因為它看不到內容。"Be'ery說,"Gmail可以根據郵件內容決定是否發出警報,但WhatsApp的伺服器做不到——它只能依賴元數據。"
這些元數據包括:某個號碼是否在向大量用戶發送消息、是否有多名用戶舉報同一賬號,以及賬號是否存在異常行為。正因為伺服器端受到保護,攻擊者正將目光越來越多地轉向用戶設備——消息在那裡被解密,可以被直接訪問。
此外,消息正文之外的元數據也可能帶來跟蹤和隱私風險,包括誰給誰發了消息、消息發送時間、是否已送達、關聯了多少設備、設備是否在線,以及可能使用的設備類型等資訊。
Be'ery指出,用戶很難控制這些資訊,因為已讀回執是WhatsApp核心功能的一部分。即便事後將某個聯繫人拉黑,發送方可能已經收集到了這些情報。
他還重點提到了"靜默探測"這一威脅——攻擊者可以在不發送可見消息的情況下,監控目標設備的在線狀態,從而推斷出用戶的行為規律,例如識別其主要使用設備,或追蹤其出行、在線及離線時間。
WhatsApp的多設備架構——用戶可能同時使用一部主手機和多個關聯設備,如WhatsApp網頁版或桌面客戶端——也帶來了新的安全漏洞。Be'ery認為,這使攻擊者能夠實施"設備枚舉",即識別目標賬號關聯的設備數量;以及"設備定點攻擊",即針對特定設備發送攻擊載荷,而非向所有設備發送相同內容。
隨著攻擊者越來越多地聚焦於元數據、送達信號和終端設備,高級威脅行為者可以將多個漏洞串聯起來,發動無需用戶任何交互的零點擊間諜軟體攻擊。這類攻擊可通過文件、鏈接預覽、群組或設備同步功能傳播。他援引了一起近期案例:以色列間諜軟體公司Paragon Solutions開發的間諜軟體,攻擊了90名義大利WhatsApp用戶,其中包括記者和公民社會成員。
Be'ery表示,上述部分問題已向Meta報告,並在某些平台上得到了局部修復,但仍有更多工作需要完成。"2016年足夠好的安全標準,在擁有超過30億用戶的2026年已經不夠用了。安全架構
需要與時俱進。"
他提出的解決方案之一是引入"鎖定模式",僅允許已知聯繫人直接向用戶發送消息或富媒體內容,從而將攻擊面從數十億WhatsApp用戶縮小至用戶通訊錄中的聯繫人範圍。
"如果只有我的聯繫人能給我發消息,那麼來自35億潛在攻擊者的靜默探測就會消失。"他說,"這不能徹底解決問題,但能大幅降低風險。"
他還建議針對陌生發件人引入受限消息請求模式,類似其他社交平台的功能,陌生人只能發送受限的文字請求,而無法發送富媒體或複雜消息類型。
另一項改進措施是對發送方隱藏用戶關聯的設備資訊。發送方只與單一的接收方身份交互,接收方的多台設備在內部完成消息同步。
"核心思路是不向發送方暴露所有設備資訊。"Be'ery說,"這樣一來,就不存在設備數量偵察,也無法對特定設備實施定點攻擊。"
在演講結尾,Be'ery強調WhatsApp的端對端加密依然至關重要,但也指出任何安全設計都存在取捨。"WhatsApp的端對端加密保護了伺服器,卻暴露了客戶端。遺憾的是,目前還沒有用戶能從這次演講中帶走並立即應用的解決方案。"
Q&A
Q1:WhatsApp的端對端加密具體是如何工作的?
A:WhatsApp於2016年基於開源Signal協議引入端對端加密。消息在發送方設備上完成加密,只能在接收方設備上解密。WhatsApp伺服器充當"啞管道",只負責傳遞加密消息,無法讀取消息內容、識別惡意流量或干預單個會話,從而降低了大規模監控的風險。
Q2:WhatsApp的元數據會泄露哪些用戶隱私?
A:即使消息內容受到加密保護,元數據仍可能暴露大量隱私資訊,包括誰給誰發了消息、消息發送時間、是否已送達、關聯了多少設備、設備是否在線以及設備類型等。攻擊者還可以利用"靜默探測"在不發送可見消息的情況下監控用戶的在線狀態,推斷用戶的行為規律和出行動態。
Q3:針對WhatsApp客戶端攻擊風險,有哪些改進建議?
A:安全研究員Be'ery提出了三項主要建議:一是引入"鎖定模式",僅允許通訊錄中的已知聯繫人發送消息或富媒體,大幅縮小攻擊面;二是對陌生發件人實施受限消息請求模式,陌生人只能發送文字請求;三是對發送方隱藏用戶關聯的設備資訊,防止攻擊者進行設備枚舉和定點攻擊。
