間諜攻防戰：專家解密通訊軟體的安全漏洞與未來挑戰

當你透過WhatsApp或iMessage傳送訊息時，或許以為只有你和收件者能讀取內容。德州農工大學資安專家Nitesh Saxena博士指出，雖然端對端加密(E2EE)技術確實提供基本保障，但實際情況遠比想像中複雜。

身為電腦科學與工程學系教授，同時兼任德州農工全球網路安全研究院副院長的Saxena，領導著SPIES實驗室團隊。該實驗室全名為「新興運算與網路系統安全與隱私研究室」，專門研究Signal、WhatsApp和Telegram等通訊軟體的安全機制與改良方案。相關研究成果已發表於《第十四屆ACM資料與應用安全暨隱私會議論文集》。

E2EE技術確保只有通訊雙方能夠解讀訊息內容。「即使是營運這些應用程式的企業——無論是WhatsApp的Meta或iMessage的蘋果公司——都無法窺探對話內容。」Saxena解釋道。訊息在傳送端裝置加密後，僅能在接收端裝置解密，完全避開可能遭駭的伺服器。

這項技術對監控嚴格的國家尤其重要。「Signal等應用程式在中國、沙烏地阿拉伯和阿拉伯聯合大公國遭到封鎖或限制，」Saxena指出，「某些政府不樂見無法監控的通訊管道。」

然而加密技術並非萬無一失。Saxena表示，雖然多數應用程式能防範一般竊聽，但面對「中間人攻擊」等進階手法仍顯不足。這類攻擊中，駭客會在使用者新增聯絡人時攔截訊息並偽裝成通訊物件。

為防範此類攻擊，應用程式會要求使用者進行「身份驗證程式」，透過電話/視訊通話比對安全碼，或當面掃描QR碼確認彼此身份。問題在於多數使用者會跳過這個步驟，Saxena指出，即使嘗試執行，也經常操作錯誤。

他的團隊正研究如何簡化驗證流程，開發更自動化的驗證工具。「理想狀況下，使用者只需按個按鈕，應用程式就會自動完成所有檢查。我們正朝這個方向努力。」

部分安全漏洞源自使用者操作失誤，Saxena認為這與介面設計有關。「在大型群組聊天中，很容易忽略參與者身份。有時只顯示電話號碼——沒有姓名或照片，這相當危險。」團隊正在測試改良方案，例如在傳送訊息前顯示所有收件者的個人頭像。

加密技術不僅是技術問題，更涉及政治層面。執法機關主張需要取得加密通訊內容以打擊犯罪。其中「客戶端掃描」提案要求應用程式在加密前先檢查訊息是否包含非法內容。

「美國尚未實施這項機制，」Saxena解釋，主要疑慮在於一旦建立後門，可能遭駭客、企業或政府濫用。為此，他的團隊正在開發加密鍵盤，在使用者輸入訊息前就防止掃描。

現代使用者習慣跨裝置使用手機、平板和筆電傳訊，雖然便利卻帶來安全挑戰。「要安全地同步訊息到不同裝置並不容易，」Saxena表示，現行的QR碼掃描等方法未必絕對安全。團隊正研發新型加密技術，實現不暴露訊息或金鑰的安全同步機制。

隨著AI在通訊領域扮演更重要角色——如摘要內容、代擬回覆或過濾垃圾訊息——Saxena團隊也著手研究新課題：如何在無法讀取訊息的前提下，讓通常執行於遠端伺服器的AI模型執行這些功能？

「我們正在開發高效的多方計算技術，能在不解密的情況下運算加密資料，且不會洩露任何有意義的資訊。」這項技術將實現智慧功能與隱私保護的平衡。

Saxena最後強調，單靠加密技術並不足夠。「我們可以打造全球最強大的加密系統，但若使用者操作失誤、駭客鑽漏洞，或企業誤導使用者，一切都將徒勞無功。」他建議使用Signal和WhatsApp等安全應用程式，但必須瞭解其限制。「如果應用程式提供驗證聯絡人的功能，花點時間完成驗證絕對值得。」

[end]