自从即时通讯应用WhatsApp引入多设备功能以来,越来越多的用户通过网络浏览器直接使用WhatsApp。WhatsApp现在推出了一个新的扩展,可以为其网络应用程序增加额外的安全性,这样用户就可以保护自己免受攻击。GSM Arena称,该扩展名为Code Verify,其唯一目的是确保WhatsApp的网页版本足够安全,端到端加密没有被破坏。
WhatsApp说,这款网络应用的抗攻击能力自然较弱。因此,代码验证可以确保与Windows、iOS或Android上的原生应用相同的安全级别。
WhatsApp宣布代码验证!多亏了这个扩展,你可以验证你的版本的WhatsApp Web的完整性,所以你确定你正在使用一个真实的版本。https://t.co/Txb5u4soUi
- WABetaInfo (@WABetaInfo) 2022年3月10日
据WABetaInfo报道,代码验证是一个非常重要的新的浏览器扩展,为WhatsApp用户增加了另一层安全。安装Code Verify后,它会自动检测你使用的WhatsApp Web版本的代码是否被恶意实体修改过,所以如果它是真实的、未被篡改的版本。
“当代码验证成功地验证了你使用的是真实版本的WhatsApp网络,这意味着你的版本没有被黑客、越权政府或其他恶意人士和脚本修改。这是验证你的WhatsApp Web版本完整性的最佳方式。”WABetaInfo分享道。
此外,该扩展不记录元数据和用户消息,它不与WhatsApp和元数据共享任何信息,“它也是开源的,所以每个人都可以验证它的功能,”它说。
那么“代码验证”是如何工作的呢?
根据meta的官方帖子,“Verify扩展了子资源完整性的概念,这是一个安全特性,可以让浏览器验证他们获取的资源没有被操纵。子资源完整性只适用于单个文件,但代码验证检查整个网页上的资源。”
为了大规模实现这一目标,并增强流程中的信任,Code Verify与Cloudflare合作伙伴充当可信任的第三方。“我们已经向Cloudflare提供了WhatsApp Web的Javascript代码的真实加密哈希源。当有人使用代码验证时,该扩展会自动将在WhatsApp Web上运行的代码与由WhatsApp验证并发布在Cloudflare上的代码版本进行比较。如果有任何不一致的地方,Code Verify将会通知用户。”
虽然通过比较哈希值来检测被篡改的文件并不是什么新鲜事,但在Cloudflare的第三方验证的帮助下,代码验证可以自动做到这一点,而且是第一次达到这种规模。WhatsApp的安全保护、代码验证扩展和Cloudflare都可以提供实时代码验证。它还补充说,每当更新WhatsApp Web的代码时,真实和扩展的加密哈希源也会自动更新。
