Meta開源釋出瀏覽器外掛Code Verify，可驗證Web版WhatsApp傳輸檔案的真實性

Meta宣布釋出一項瀏覽器外掛軟體，以確保Web版WhatsApp傳輸內容沒有被人竄改，可在三大瀏覽器的外掛軟體市集下載。

WhatsApp去年宣布多裝置策略，即允許用戶以Web、Windows及macOS等版本App，從主要手機以外的裝置使用WhatsApp。此後使用Web版的用戶愈來愈多。WhatsApp最新開源釋出Code Verify，可自動驗證送到瀏覽器的Web程式碼，以確保透過Web版WhatsApp傳輸的檔案或程式沒有經過竄改或變更。

WhatsApp解釋，手機版WhatsApp App提供全程加密，但Web版訊息是由寄發者直接送給收訊者，並沒有第三方單位驗證和稽核程式碼。Web環境下的傳輸的威脅來源是手機App版沒有的，像是瀏覽器外掛程式。此外，由於App多半是在網際網路出現後開發的，尤其是App多半經過App軟體商店平臺的審核，之後也都會獲得軟體更新，本質上比Web版更為安全。

Code Verify是由Meta開源團隊和Cloudflare合作提供，號稱能提升WhatsApp Web傳輸的安全性。它是以業界常用的子資源完整性（subresource integrity）概念擴展而成，這種安全功能是讓瀏覽器來驗證它取得的資源未經非法變更。不過這類安全功能只用於單一檔案，而Code Verify則可檢查整個網頁內的資源。

圖片來源／Meta

Cloudflare在這項合作中扮演信賴第三方，且協助處理更大資源量。當啟用Code Verify這個外掛時，它會自動比對在WhatsApp Web上的程式、及已經由WhatsApp驗證過（且交給Cloudflare）的雜湊值。如果程式碼經過竄改，用戶就會獲得通知。WhatsApp強調，雖然比對雜湊值不是新技術，但自動、且大規模執行則是創舉。

Code Verify可在主要瀏覽器包括Google Chrome、Microsoft Edge及Mozilla Firefox的外掛市集下載。一旦安裝後，Code Verify會在用戶開啟WhatsApp Web時自動啟動，準備偵測有異狀時即時發出警示。

WhatsApp強調，Code Verify不會記錄任何資料、meta data或用戶資源，也不會分享任何資料給WhatsApp及Cloudflare。它也不讀取WhatsApp上收發的訊息，甚至Meta及WhatsApp連用戶是否下載Code Verify外掛都不知道。