Code Verify可在主要瀏覽器包括Google Chrome、Microsoft Edge及Mozilla Firefox(如上圖所示)的外掛市集下載。一旦安裝後,Code Verify會在用戶開啟WhatsApp Web時自動啟動,準備偵測有異狀時即時發出警示。

Meta宣布釋出一項瀏覽器外掛軟體,以確保Web版WhatsApp傳輸內容沒有被人竄改,可在三大瀏覽器的外掛軟體市集下載。

WhatsApp去年宣布多裝置策略,即允許用戶以Web、Windows及macOS等版本App,從主要手機以外的裝置使用WhatsApp。此後使用Web版的用戶愈來愈多。WhatsApp最新開源釋出Code Verify,可自動驗證送到瀏覽器的Web程式碼,以確保透過Web版WhatsApp傳輸的檔案或程式沒有經過竄改或變更。

WhatsApp解釋,手機版WhatsApp App提供全程加密,但Web版訊息是由寄發者直接送給收訊者,並沒有第三方單位驗證和稽核程式碼。Web環境下的傳輸的威脅來源是手機App版沒有的,像是瀏覽器外掛程式。此外,由於App多半是在網際網路出現後開發的,尤其是App多半經過App軟體商店平臺的審核,之後也都會獲得軟體更新,本質上比Web版更為安全。

Code Verify是由Meta開源團隊和Cloudflare合作提供,號稱能提升WhatsApp Web傳輸的安全性。它是以業界常用的子資源完整性(subresource integrity)概念擴展而成,這種安全功能是讓瀏覽器來驗證它取得的資源未經非法變更。不過這類安全功能只用於單一檔案,而Code Verify則可檢查整個網頁內的資源。

圖片來源/Meta

Cloudflare在這項合作中扮演信賴第三方,且協助處理更大資源量。當啟用Code Verify這個外掛時,它會自動比對在WhatsApp Web上的程式、及已經由WhatsApp驗證過(且交給Cloudflare)的雜湊值。如果程式碼經過竄改,用戶就會獲得通知。WhatsApp強調,雖然比對雜湊值不是新技術,但自動、且大規模執行則是創舉。

Code Verify可在主要瀏覽器包括Google Chrome、Microsoft Edge及Mozilla Firefox的外掛市集下載。一旦安裝後,Code Verify會在用戶開啟WhatsApp Web時自動啟動,準備偵測有異狀時即時發出警示。

WhatsApp強調,Code Verify不會記錄任何資料、meta data或用戶資源,也不會分享任何資料給WhatsApp及Cloudflare。它也不讀取WhatsApp上收發的訊息,甚至Meta及WhatsApp連用戶是否下載Code Verify外掛都不知道。


熱門新聞

Advertisement