通讯软件WhatsApp被揭有严重漏洞，用户引述他人的信息时，可利用黑客软件窜改发送人的身分以至信息内容，令心怀不轨者有机会炮制假消息。揭发问题的以色列电脑保安公司Check Point周三（7日）称，研究人员早于去年发现漏洞并通报其母公司facebook（fb），惟fb则表示碍于WhatsApp的端对端加密设计，无法堵塞漏洞，漏洞1年后仍然存在。该公司周三展示一个利用该漏洞修改信息的工具，盼唤起关注。fb拒绝评论。

接报逾1年 3漏洞仅塞1 个

Check Point专门研究产品漏洞的部门主管瓦努努（Oded Vanunu）周三在美国拉斯维加斯的黑帽网络安全会议（Black Hat）上，示范如何利用其制作的新工具，在WhatsApp引述他人的信息时改变其内容，故意歪曲他人的说话。他表示其团队早于去年8月发现WhatsApp有3个漏洞，包括可以完全窜改他人的信息、在群组对话更改发送人身分，以及将群组对话伪装成一对一信息，一旦对方回覆即会出现在群组中。他们向fb通报，最终fb只解决最后一个漏洞，前两个漏洞依然存在。

瓦努努指fb向他们表示，WhatsApp的加密技术令监察和验证用户发送的信息真伪极为困难，甚至不可能做到，其他可能的方法亦会影响软件的可用性。他指出，WhatsApp在全球拥有15亿用户，心怀不轨者有可能透过漏洞“利用看起来可信的消息人士传播假消息”，加剧操纵资讯的问题，而且过程并不复杂，毋须破解WhatsApp的端到端加密技术。被问及新工具会否让有心人更易利用漏洞，他认为公司不能够坐视不理，有责任将行动升级，促使更多人就此展开讨论。

脸书：端对端加密难打假

WhatsApp散播谣言的问题近年备受关注，例如印度去年就有谣言在WhatsApp及社交媒体流传，指有两名男子绑架及贩卖儿童，最终两人遭村民殴打至死，类似事件在当地夺去共17条人命。去年10月的巴西大选中，WhatsApp亦被指为假新闻的温牀，由于信息经过加密，公司及当局均难以介入调查，而且信息通常都是来自熟人，令用户更倾向相信WhatsApp的假消息。WhatsApp在去年7月更新功能，用户转发他人的信息时会标明“转发”的字眼，在今年1月亦将每条信息最多可转发的次数由20次大幅减少至5次，以打击假消息传播。

网络保安公司Symantec上月亦发现WhatsApp的漏洞，若用户设定将收到图片储存在外部记忆，黑客有机会窜改图片，例如利用恶意程式更改收据上的数字，欺骗受害人向错误的对象付款。今年5月，WhatsApp承认，有黑客利用语音通话功能致电用户，然后用户手机便会自动安装间谍软件监控，WhatsApp已推出修补程式。

（香港明报）