假新聞充斥惹議，WhatsApp再被爆含有可竄改通訊內容的安全漏洞

就在WhatsApp因假新聞事件被印度政府盯上的時候，以色列資安業者Check Point在本周踢爆WhatsApp含有可竄改通訊內容的安全漏洞。

WhatsApp為一跨平台且強調端對端加密的免費通訊程式，在2014年被臉書（Facebook）以190億美元收購。目前WhatsApp在全球擁有超過15億的用戶，是全球最受歡迎的通訊程式，其中有2億用戶位於印度。

Check Point說明，WhatsApp的加密機制只允許接收端看到傳送端的訊息，就算是WhatsApp都無法檢視用戶訊息，Check Point研究人員則以逆向工程探索WhatsApp的演算法，並於本地端解密了WhatsApp的網路請求以判斷該程式的運作方式。

Check Point示範影片，如何在WhatsApp上製造假消息：

研究人員發現了WhatsApp傳遞訊息時所使用的參數，並藉由變更這些參數來試探可能的攻擊行為，顯示出他們得以在群組中使用「引用」（quote）功能時變更寄送者的身分，也能竄改別人所回覆的文字，或者傳送一個看起來像是公開訊息的私人訊息予群組用戶。不過，上述攻擊都必須要在駭客身處對話或群組中才能執行。

對於在印度因當地使用者藉由WhatsApp傳遞假新聞而造成多起私刑事件，甚至讓印度政府動念封鎖WhatsApp，WhatsApp除了提出改善之道以外，也在本周開始限制印度用戶一次最多只能將訊息轉寄給5個人，正常版的WhatsApp一次可轉寄給20人。