Facebook旗下的消息平臺WhatsApp是市面上安全程度相對較高的消息應用之一。

WhatsApp在今年早些時候重新設計了后臺，讓用戶們通過這項服務發出的每一條消息都是安全的，即便是WhatsApp也無法看到消息的內容。WhatsApp將這種安全技術稱作端到端加密。

但是衛報周五發表了一篇報道，對WhatsApp的安全機制提出質疑，報道指出WhatsApp應用中存在一個“安全漏洞”或“后門”，政府部門可以通過這個漏洞或后門窺探用戶的隱私信息。

但是不用擔心。WhatsApp應用中并不存在后門，就像聯邦調查局希望蘋果在iPhone中預設的那種后門。

Open Whisper Systems的創始人莫克西·馬林斯派克（Moxie Marlinspike）曾經參與設計WhatsApp的安全協議，他在本周五發表了一篇洋洋灑灑、說理細致的博客文章，對衛報提出的質疑進行了反駁。

密碼學是一門專注于細節的、極其復雜的學科，概述性的文字通常都是錯誤的，但是關鍵是：消息收發系統必須知道用戶的消息確實發到了他想要傳遞消息的對象手中。

但是WhatsApp認為，如果一名用戶改變了他的安全密鑰，它就可以向用戶發出警示信息，而不是像某些消息應用那樣將改變安全密鑰的用戶完全攔截，它只會發出一條如圖所示的警示信息。

正是因為這樣的設定，導致衛報對WhatsApp的安全性提出了質疑。衛報懷疑政府部門也許可以通過“中間人”攻擊劫持一名用戶本想發給另一名用戶的消息。

馬林斯派克解釋說：“大多數端到端加密通訊系統都有一些類似于這種驗證方式的設置。”

中間人攻擊（Man-in-the-Middle Attack，簡稱“MITM攻擊”）是一種“間接”的入侵攻擊，這種攻擊模式是通過各種技術手段將受入侵者控制的一臺計算機虛擬放置在網絡連接中的兩臺通信計算機之間，這臺計算機就稱為“中間人”。然后入侵者把這臺計算機模擬成一臺或兩臺原始計算機，使“中間人”能夠與原始計算機建立活動連接并允許其讀取或修改傳遞的信息，然而兩個原始計算機用戶卻認為他們是在互相通信。通常，這種“攔截數據——修改數據——發送數據”的過程就被稱為“會話劫持”（Session Hijack）。

馬里斯派克說：“中間人攻擊特別適合用來對付公共密鑰密碼學，而不僅僅是WhatsApp。”

實際上，WhatsApp根據其可用性做了一項安全選擇，因為它有10億用戶，關閉用戶之間的會話可能會引起用戶的不滿。更糟的是，它可能會讓整個系統變得更不安全。密碼學家必須時時刻刻權衡利弊。

馬林斯派克說：“考慮到WhatsApp用戶群的龐大規模和影響范圍，我們感覺他們選擇這種通知而非完全攔截的方式是恰當的。從透明和密碼學的角度來說，這樣做保證了每一位用戶的體驗和用戶通訊的隱私。如果選擇攔截的方式，有時候可能會讓事情變得更糟糕。那樣會將信息泄露給服務器，讓服務器端知道誰開啟了這項功能而誰沒有開啟它，這實際上就是告訴服務器誰有可能被用‘中間人攻擊’的方式攻破。在這方面，WhatsApp可是非常慎重的。”

如果你擔心通訊內容的隱私受到侵害，WhatsApp提供的解決方案仍然比其他可替代方案比如電報的安全性更優秀。然而，如果你特別在意安全性而對可用性的要求比較低，那么不妨選擇Open Whisper Systems的Signal消息應用，這也是斯諾登（Edward Snowden）最喜愛的消息應用。