WhatsApp 的安全漏洞可能不会影响到普通人

每隔一段时间，重大的安全漏洞或黑客入侵事件都会引发恐慌。在大多数情况下，那些恐慌是没有必要的。

就拿我们在周一 报道 的安全漏洞来说，以色列网络情报公司 NSO Group 开发的恶意软件（这些软件的用户通常是政府机构）被发现用来对 WhatsApp 的一个漏洞加以利用，使得攻击者可以远程监控受害者的手机。据最先 曝光此事 的《金融时报》报道，这个漏洞几乎无法被人察觉。受害者手机遭到黑客入侵的唯一迹象是一通未接来电，而留下的记录之后往往会被自动删除。

WhatsApp 的母公司 Facebook 表示，他们发现了漏洞的存在，并且已于周一晚间向应用商店推送了补丁。WhatsApp 在其新版应用的发布版本通知中并未提及黑客攻击的事情，这 招致一些安全专家的批评 ，称该公司没有对这一漏洞的风险给予重视。

在大多数相关报道中，有一小部分信息是缺失的：你可能并非黑客攻击的目标。

除非你是一位核能科学家或政府间谍——或者是 一位人权律师 ——否则攻击者可能不会对你产生兴趣。

WhatsApp has just pushed out updates to close a vulnerability. We believe an attacker tried (and was blocked by WhatsApp) to exploit it as recently as yesterday to target a human rights lawyer. Now is a great time to update your WhatsApp software https://t.co/pJvjFMy2aw https://t.co/e8VQUraZWQ

— Citizen Lab (@citizenlab) May 13, 2019

WhatsApp 刚刚推送了更新以修复一个漏洞。我们认为，有一位攻击者试图利用该漏洞在昨日对一位人权律师实施攻击（此举已经遭到 WhatsApp 的阻止）。我们建议你立刻升级自己的 WhatsApp 应用。

要利用 WhatsApp 中的漏洞实施攻击，那需要花费大量的时间和精力来进行开发。攻击方法还必须有效、不易被察觉以及可重复使用。攻击者每次利用它来实施攻击时，都存在被人发现的风险，这跟秘密监控是背道而驰的。

“这次攻击并不是大规模监控，而是面向针对性较强的人群。” 萨里大学（University of Surrey）的计算机科学家艾伦·伍德沃德（Alan Woodward）说，“对攻击者来说，利用此漏洞的潜在成本和风险意味着，他们只会在专门对象身上使用它。”

媒体在报道安全漏洞和黑客攻击事件时对受害者相关背景信息只字不提，这种现象正变得越来越普遍。每次报道此类事件时，我们都会尝试提供背景信息，这样已经得到确认或潜在的受害者就能采取措施来保护自己。这里的风险在于，如果我们不在报道中这样做，那会引发恐慌和不确定性。更糟糕的是，困惑会导致误解，而那会带来质量低劣的报道以及让公众受到误导。

这种现象有时候被称为 “ 黑客色情 ”（hack porn），也就是媒体在报道奇特和晦涩难解的黑客攻击技术时倾向于把它们描述成 “路过式下载”（ 译注：指在用户没有察觉的情况下，隐蔽地下载恶意程序到用户的设备中 ），或者是政府在大规模监控所有人。报道关于黑客攻击的信息没有什么不对，但我们需要厘清有哪些人可能成为受害者，以及他们面临的风险有多大。

“普通大众应该知晓问题的存在，对软件进行更新，但无疑不应该急于抛弃软件应用。” 伍德沃德说，“值得赞扬的是，WhatsApp 发现了这个几乎无法察觉的安全漏洞。”

“没有软件是 100% 安全的。” 他说，“只要保持良好的安全操作行为习惯，比如保证密码不被泄漏，及时更新应用，那么大多数人应该不会受到这个漏洞的影响，即便你本人就是攻击者的目标。”

周一的新闻提醒我们，尽管存在那种得到政府机构支持的复杂黑客攻击，它们只以极少数人为目标，我们将应用更新到最新版本总不会有什么坏处。

翻译：王灿均（ @何无鱼 ）

You probably weren’t a target of the WhatsApp surveillance hack