Meta 如何增强 WhatsApp 通话的安全性

隐私和安全是 WhatsApp 的核心。除了通过端到端加密保护个人消息外,WhatsApp 还赋予用户控制自己隐私设置的权力:从您分享的内容、您在网上的显示方式,到谁可以联系您或将您添加到群组。

2023 年 6 月,WhatsApp 发布了一项额外的隐私功能: 让未知来电保持沉默。我们之所以推出这项功能,是因为它不仅能保护隐私,还能保障安全。使用体验非常简单:打开设置后,未知号码的来电不会响起。我们精心打造了这一功能,最大限度地减少了攻击面和外部数据处理,不仅能帮助用户避免不必要的联系,还能防止网络攻击和间谍软件。

随后在 2023 年 10 月,WhatsApp 开始推出 “通话中保护 IP 地址 “功能,通过 WhatsApp 服务器中继通话,向对方隐藏您的 IP 地址。

使用 “未知来电静音 “阻止网络攻击和黑客攻击

在整个软件行业,呼叫产品是网络攻击的一个诱人载体。该领域的热门软件项目(如 WebRTC 和 PJSIP)已记录了大量漏洞。由于其复杂性和所涉及的大量协议,攻击者有很多机会找到可利用的漏洞。此外,呼叫软件通常会自动处理来自呼叫方的传入数据包,以优化呼叫设置并提高性能。这意味着呼叫漏洞往往会导致 “零点击 “攻击;受害者甚至不需要接受呼叫,攻击就会成功。

Meta 如何增强 WhatsApp 通话的安全性
在大多数呼叫产品中,设备无需用户交互即可交换信息和设置状态

许多呼叫产品都提供通话静音功能。然而,传统的静音方法保留了与正常通话相同的网络协议和信息流,只是在收件人的设备上使通话静音。这就给通话接收方留下了许多风险。

  • 收件人的设备仍可能对攻击者控制的数据进行复杂的处理
  • 这使攻击者有办法将数据加载到收件人的内存中
  • 受话者可能会将设备信息泄露给攻击者,以提高漏洞交付的可靠性

我们可以尝试通过在接收者身上添加状态机、防火墙和沙箱来降低这些风险。然而,业内有许多例子表明这些技术无法保护用户。

相反,WhatsApp 建立了一个专门的协议,用于向收件人发送精简、静音的通话通知。服务器会执行该协议,保护收件人设备免受复杂的正常呼叫设置和攻击者控制数据的处理。

Meta 如何增强 WhatsApp 通话的安全性
实现了静音通话,WhatsApp 服务器可强制分隔。

这种方法比纯客户端方法要花费更多精力。服务器如何在不询问收件人的情况下知道通话是否应该静音?在 WhatsApp 这样的端到端加密聊天工具中,客户端是真相的来源。我们不会记录每个人给谁发信息或打电话: 传统上,移动运营商和运营商会保存这些信息,但我们认为,为 20 亿用户保存这些记录会带来隐私和安全风险,因此我们不会这样做。

WhatsApp 开发了一种名为隐私令牌的新技术来解决这个问题。每个客户端在本地决定信任哪些其他用户,并向他们分发令牌。拨打电话时,呼叫方会在协议信息中包含收件人的隐私令牌。接下来,服务器会检查令牌的有效性以及其他一些因素,以确定预期收件人是否允许该发件人给他们打电话。最重要的是,为了保护用户的隐私,服务器不会从令牌中得知呼叫者和收件人之间的确切关系。

有了我们设计的这项功能,呼叫对攻击者的吸引力就大大降低了。

保护通话中的 IP 地址元数据

Meta 如何增强 WhatsApp 通话的安全性
连接呼叫参与者的两种常见方法:点对点和通过中继。

目前,人们使用的大多数通话产品都在参与者之间建立了点对点连接。这种直接连接可以实现更快的数据传输和更好的通话质量,但这也意味着通话双方需要知道对方的 IP 地址,以便将通话数据包传送到正确的设备上,也就是说,在 1:1 通话中,通话双方都可以看到对方的 IP 地址。IP 地址可能包含一些最注重隐私的用户所关注的信息,如广泛的地理位置或互联网提供商。

为了解决这个问题,我们在 WhatsApp 上推出了一项新功能,允许您在通话过程中保护自己的 IP 地址。启用此功能后,您的所有通话都将通过 WhatsApp 的服务器进行转发,确保通话中的其他各方无法看到您的 IP 地址,从而推断出您的大致地理位置。这项新功能为我们最注重隐私的用户提供了额外的隐私和安全保护。一如既往,您的通话是端到端加密的,因此即使通话通过 WhatsApp 服务器中转,WhatsApp 也无法监听您的通话。

结论

WhatsApp 在今年建立并推出了 “未知来电静音 “和 “通话中保护 IP 地址 “功能,这是我们为保障用户安全而持续开展的全面工作的一部分。这些功能尊重并改善了用户隐私,同时也降低了现实世界中攻击的有效性。

保护用户隐私和安全对于 WhatsApp 完成其实现全球私人通信的使命是绝对必要的。这些新的安全功能与许多其他保护措施相结合,可确保人们在 WhatsApp 上的安全。

作者:Daniel Sommermann, Sebastian Messmer, Attaullah Baig
原文:https://engineering.fb.com/2023/11/08/security/whatsapp-calls-enhancing-security/

本文来自作者投稿,版权归原作者所有。如需转载,请注明出处:https://www.nxrte.com/jishu/41583.html

(0)

相关推荐

发表回复

登录后才能评论