Meta開源發(fā)布瀏覽器插件，可驗證Web版WhatsApp傳輸文件的真實性

Meta宣布發(fā)布一項瀏覽器插件軟件，以確保Web版WhatsApp傳輸內(nèi)容沒有被人篡改，可在三大瀏覽器的插件軟件市場下載。

WhatsApp去年宣布多設(shè)備策略，即允許用戶以Web、Windows及macOS等版本App，從主要手機以外的設(shè)備使用WhatsApp。此后使用Web版的用戶越來越多。WhatsApp最新開源發(fā)布Code Verify，可自動驗證送到瀏覽器的Web程序代碼，以確保通過Web版WhatsApp傳輸?shù)奈募虺绦驔]有經(jīng)過篡改或變更。

WhatsApp解釋，手機版WhatsApp App提供全程加密，但Web版消息是由發(fā)送者直接送給信號者，并沒有第三方單位驗證和審核程序代碼。Web環(huán)境下的傳輸?shù)耐{來源是手機App版沒有的，像是瀏覽器插件程序。此外，由于App多半是在互聯(lián)網(wǎng)出現(xiàn)后開發(fā)的，尤其是App多半經(jīng)過App軟件商店平臺的審核，之后也都會獲得軟件更新，本質(zhì)上比Web版更為安全。

Code Verify是由Meta開源團隊和Cloudflare合作提供，號稱能提升WhatsApp Web傳輸?shù)陌踩?。它是以業(yè)界常用的子資源完整性（subresource integrity）概念擴展而成，這種安全功能是讓瀏覽器來驗證它取得的資源未經(jīng)非法變更。不過這類安全功能只用于單一文件，而Code Verify則可檢查整個網(wǎng)頁內(nèi)的資源。

圖片來源／Meta

Cloudflare在這項合作中扮演信賴第三方，且協(xié)助處理更大資源量。當(dāng)激活Code Verify這個插件時，它會自動比對在WhatsApp Web上的程序、及已經(jīng)由WhatsApp驗證過（且交給Cloudflare）的散列值。如果程序代碼經(jīng)過篡改，用戶就會獲得通知。WhatsApp強調(diào)，雖然比對散列值不是新技術(shù)，但自動、且大規(guī)模執(zhí)行則是創(chuàng)舉。

Code Verify可在主要瀏覽器包括Google Chrome、Microsoft Edge及Mozilla Firefox的插件市場下載。一旦安裝后，Code Verify會在用戶打開WhatsApp Web時自動啟動，準(zhǔn)備偵測有異狀時即時發(fā)出警示。

WhatsApp強調(diào)，Code Verify不會記錄任何資料、meta data或用戶資源，也不會分享任何資料給WhatsApp及Cloudflare。它也不讀取WhatsApp上收發(fā)的消息，甚至Meta及WhatsApp連用戶是否下載Code Verify插件都不知道。