身处即时通讯软件深度融入日常生活当下,聊天记录。联系人信息。乃至支付数据都成黑客眼中“金矿”,作为全球用户量极大通讯应用之一,WhatsApp虽宣称加密,但其背后所暴露安全漏洞与隐私风险却一次次敲响警钟。从恶意软件传播至账户劫持,从元数据泄露至极母公司数据共享,用户有必要再度审视:自身每日所用聊天工具,是否确实安全可靠?本文会深度剖析WhatsApp最为显著的安全问题,且为你指出一条更为稳当的替代途径,那就是Signal下载安装后,你会收获怎样的放心感受。
WhatsApp有哪些常见安全漏洞
在好多用户心中认知里,WhatsApp的端到端加密如同认定为“无人能够去看”这般状况,然而实际却远不是这个样子的。其中最为寻常可见的漏洞当中有一个是“双因素认证绕过攻击”,那便是黑客借助SIM卡交换技术来获取用户的短信验证码,以至于能够轻松顺利地接管目标账户。一旦账户被操控掌握,骗子就会假冒本人向众多联系人发送钓鱼链接或者借款请求,进而造成一系列接连不断的连锁损失。除此以外,恶意媒体文件攻击也经常出现,攻击者发送一张看似平常的图片,实际上暗藏着能够远程执行代码的漏洞,比如在2019年被曝光的CVE – 2019 – 11931,仅仅一帧经过特殊构造的图像就能致使手机失去控制。
还存在一个致使人心绪不安的漏洞,它源自“群聊链接泄露”,WhatsApp的群组邀请链接一旦被公开于论坛或者暗网,那么任何一个人点击之后便能够加入群聊,进而获取到所有成员的手机号以及头像,众多企业群、家长群甚至政府工作群都曾经因为这个情况而致使敏感信息向外泄露,更为隐蔽的是“已删除消息恢复漏洞”,虽说WhatsApp准许用户去删除发出的消息,可在某些安卓版本当中,这些消息依旧被保存在本地数据库里,通过技术手段能够轻而易举地复原。不断涌现的诸多漏洞表明,把加密和绝对安全完全等同是不正确的,奠定安全根基的,其实是系统代码自身所具有的质量情况以及代码更新速度快慢,是其二者才行得通。
如何保护WhatsApp账号安全
存在上述那般威胁的状况之下,用户实际上能够施行一连串的主动予以防护之事宜。第一个要紧之举动乃是即刻开启“两步验证”:于WhatsApp的设置这个范畴里,在账户之中寻觅到该项功能之处,并设定一个有着6位数字组成的PIN码。此PIN码跟短信验证码存在差异,就算黑客替换了你的SIM卡Signal 网页 登录,也没办法完成登录。强烈地建议同时去绑定一个专门用于此的邮箱以作重置PIN码之用——切莫使用平常惯用的工作邮箱,比较好的做法是新创建一个仅仅专门用来参与WhatsApp验证的邮箱地址。此外,一定要将“最后上线时间”以及“已读回执”的公开展示予以关闭,虽说这并不会对账户安全产生直接的影响,然而却能够降低在社会工程学攻击里攻击者针对你作息规律进行收集的情况。
除却软件设置之外,日常运用习惯同样是至关重要的。千万不要去点击由陌生人发送过来的链接,或者下载不清楚的文件,纵然对方的备注名字看上去显得颇为熟悉,这是由于不法分子极有可能已然窃取了你朋友的账号。需要定期去检查WhatsApp这般软件的“已登录设备”清单列表,将任何陌生的设备予以移除剔除掉。针对群聊邀请这一项,建议转变为“仅仅只有联系人能够添加我”这种模式,并且要定期去解散那些不再处于活跃状态的老群组。请注意,这是最后一条忠告啦,勿将WhatsApp的备份文件存于iCloud或者Google Drive之中,却不对之又进行加密处理,好多用户并不曾知晓,那些云端备份是并不享有端到端加密的,苹果以及谷歌能够直接去读取。要是非得进行备份的话,请运用端到端加密备份功能(需要开启密码保护)。
WhatsApp端到端加密真的安全吗
对于技术原理而言,WhatsApp的端到端加密是基于Signal Protocol,没错,也就是跟Signal一样的加密协议。这表明在传输进程当中,消息会被转变为只有收发双方设备上的私钥才能够解开的密文形式,WhatsApp服务器自身也没办法读取其中内容。理论上确实是安全的,然而问题却出在了实现以及生态方面。WhatsApp的代码是闭源流的,安全研究人员没办法审计其完整逻辑,只能借助逆向工程手段。像Signal这样的开源软件,其代码可供公开查询,全球专家能发现任何后门或者疏忽,二者的可信度有着极大差别,相差悬殊,极为迥异,天差地别。
是它的元数据收集策略,真正致使WhatsApp加密出现“缩水”情况。消息内容虽无法被破解,然而于什么时间,谁和谁发送了消息,消息的数据量有多大,使用的是什么型号手机等这些元数据,都被完整地记录下来。母公司Meta(原Facebook)更是把这些元数据运用到广告画像以及用户行为分析方面。举个例子来讲:即便你不清楚两个人在聊些什么,可是看见A每天深夜都和B不间断地发送大量消息,就完全能够推断出他们之间存在亲密关系。Signal的元数据仅仅只保留最低限度,其中只有账户创建时间以及最后上线时间,其他的内容一律不进行存储。所以Signal 下载,“端到端加密”仅仅是安全拼图之中的一块,完整的隐私还需要做到无元数据,并且要开源可审计,公司不能依赖用户数据来盈利。
为什么黑客喜欢攻击WhatsApp
黑客对WhatsApp趋之若鹜的核心缘由是“高价值用户 + 低攻击门槛”,WhatsApp有超20亿月活用户,年龄段和行业几乎都有涵盖,比如从普通学生到企业CEO ,从医疗工作者到政府官员 ,拿下一个账号,就如同获取一个人的全部社交关系网,骗子能够冒充受害者向其亲友借钱 ,或者骗取企业财务转账,或者是用其账号扩散恶意软件。在黑色市场当中,存在着这样一种情况,一个已经经过验证的WhatsApp账户,特别是那种绑定了商业支付功能的,其售卖价格能够达到50美元至200美元之间,而这种情况刺激了大规模自动化攻击的产业链得以形成。
攻击之人会将WhatsApp所谓的“安全”口碑用作自身伪装,这究竟是何缘故呢?乃是由于广大用户普遍持有“加密便等同于安全”这样的观念,致使面对钓鱼链接时,心理上所建构的防线更为薄弱。黑客常常实施的手段包含如下这些:发送声称“您的账户马上就要被冻结了,请点击此处进行验证”的虚假官方消息,或者发送“能够免费领取优惠券”的诱导性链接。这些充斥着虚假内容的页面制作得极为逼真,只要用户输入了手机号或者验证码,账户瞬间就会被盗取。一种更高级的攻击方式称作“中间人Wi-Fi”,它会在咖啡店、机场等地部署免费Wi-Fi,以此拦截用户与WhatsApp服务器之间的连接,虽说没办法解密消息,却能够拿到IP地址、登录时间戳等,进而用于后续的社会工程攻击,其高收益、低风险以及拥有巨大的攻击面,致使WhatsApp成为黑客的黄金目标。
切换到Signal的好处有哪些
倘若你已然因WhatsApp的诸多隐患而心生不安,那么Signal便是当下最为成熟的替代之选。Signal同样运用Signal Protocol进行加密,然而它是默认开源的,默认不会收集任何元数据。于Signal之中,所有通信,涵盖文字、语音、视频、文件以及甚至贴纸,皆会自动进行端到端加密,不存在“可选的普通聊天”这般歧途。重要性更甚于此的是,Signal拥有的“密封发件人”技术致使服务器连发送者的身份全都无从知晓,截取数据流时仅仅能够看到的是一堆杂乱无章的编码。与此同时,出现了这样诸如:Signal支持“阅后即焚”消息、实行屏幕安全锁以避免应用在后台进行截屏、还有具备远程抹除设备数据类功能的情形,而恰恰又正是这些细节之处为WhatsApp所欠缺的。
安全性暂不先讲,Signal在日常使用体验方面同样毫不逊色,它的聊天界面简洁不存在广告,绝对不会推送“推荐好友”或者“附近商家”,这类属于侵犯隐私权的干扰,Signal的群组管理涵盖链接邀请、管理员审核、成员静音等多项操作,语音与视频通话质量能够保持稳定,并且全然免费、时长无限制,针对从WhatsApp迁移过来的用户,Signal提供了“从其他应用导入聊天记录”功能,不过需要留意的是:导入流程是单向的,并且不会对原WhatsApp的数据引发影响。要是你乐意完全告别WhatsApp,能够直接于Signal设置里禁用WhatsApp共享菜单,还要删除原本应用。Signal下载安装完毕后,你甚至能够将Signal设作默认短信应用(仅限于安卓),不过建议只拿它处理端到端加密通信,以此达成最大安全收益句号。
Signal下载后如何迁移聊天记录
好多用户长时间不离开WhatsApp,是由于担忧历史聊天记录遗失。事实上,Signal官方给出了简便的迁移工具,然而不支持直接“复制粘贴”WhatsApp的加密数据库;这是基于安全设计,鉴于两套软件的密钥体系不兼容。当下最实用的办法是:在Signal内手动导出重要对话。你能够开启WhatsApp,针对要留存的对话运用“导出聊天记录”功能(不携带媒体文件来减小体积),生成ZIP文件之后会获取到纯文本格式的聊天记录。接着在Signal的聊天窗口里,借助文件传输把这些文本档案发送给自己或者对方。虽说这并非自动化迁移,然而对于需要留存证据的商务对话、有着珍贵回忆的亲友聊天而言,这已然是可行的方案。
有一种适合技术爱好者的方式,它是“屏幕截图 +OCR 识别”模式。针对少量关键对话,先逐页截图,接着借助手机自带文字识别功能转存至笔记软件,之后复制粘贴于 Signal 对话里。一定要注意别用任何第三方“一键迁移”工具 ,因为这类工具常常会要求你登录 WhatsApp 账号并读取数据库 ,极有可能把你的聊天内容给窃取了。Signal 官方是强烈反对这种做法的。推荐最佳做法:从当下起始,所有新生成的敏感交谈均经由Signal展开;原先的WhatsApp聊天记录能够定期导出备份至本地加密硬盘之中。当你完全确认不再需要WhatsApp后,一定要在设置里执行“删除我的账户”,与此同时清除手机本地数据。历经这般过渡,你既能够留存历史讯息,又能够享有Signal所带来的真正安全。
你有没有碰到过WhatsApp账户被盗的情况,有没有遭受过垃圾消息的狂轰滥炸,又或者有没有担心过隐私会被Meta所利用呢?欢迎来到评论区分享你的经历,要么就告知大家你切换到Signal之后的真切感受——给本文点赞并转发,好使更多朋友躲开那些隐蔽起来的安全陷阱。
原创文章,作者:Signal官网,如若转载,请注明出处:https://signal-app.top/archives/1009
