WhatsApp 的安全漏洞可能不會影響到普通人

每隔一段時間，重大的安全漏洞或黑客入侵事件都會引發恐慌。在大多數情況下，那些恐慌是沒有必要的。

就拿我們在周一報道的安全漏洞來說，以色列網絡情報公司 NSO Group 開發的惡意軟體（這些軟體的用戶通常是政府機構）被發現用來對 WhatsApp 的一個漏洞加以利用，使得攻擊者可以遠程監控受害者的手機。據最先曝光此事的《金融時報》報道，這個漏洞幾乎無法被人察覺。受害者手機遭到黑客入侵的唯一蹟象是一通未接來電，而留下的記錄之後往往會被自動刪除。

WhatsApp 的母公司 Facebook 表示，他們發現了漏洞的存在，並且已於周一晚間向應用商店推送了補丁。WhatsApp 在其新版應用的發佈版本通知中並未提及黑客攻擊的事情，這招致一些安全專家的批評，稱該公司沒有對這一漏洞的風險給予重視。

在大多數相關報道中，有一小部份資訊是缺失的：你可能並非黑客攻擊的目標。

除非你是一位核能科學家或政府間諜——或者是一位人權律師——否則攻擊者可能不會對你產生興趣。

要利用 WhatsApp 中的漏洞實施攻擊，那需要花費大量的時間和精力來進行開發。攻擊方法還必須有效、不易被察覺以及可重複使用。攻擊者每次利用它來實施攻擊時，都存在被人發現的風險，這跟祕密監控是背道而馳的。

“這次攻擊並不是大規模監控，而是面向針對性較強的人群。” 薩里大學（University of Surrey）的計算機科學家艾倫·伍德沃德（Alan Woodward）說，“對攻擊者來說，利用此漏洞的潛在成本和風險意味着，他們隻會在專門對象身上使用它。”

媒體在報道安全漏洞和黑客攻擊事件時對受害者相關背景資訊隻字不提，這種現象正變得越來越普遍。每次報道此類事件時，我們都會嚐試提供背景資訊，這樣已經得到確認或潛在的受害者就能採取措施來保護自己。這裏的風險在於，如果我們不在報道中這樣做，那會引發恐慌和不確定性。更糟糕的是，困惑會導致誤解，而那會帶來質量低劣的報道以及讓公眾受到誤導。

這種現象有時候被稱為 “黑客色情”（hack porn），也就是媒體在報道奇特和晦澀難解的黑客攻擊技術時傾向於把它們描述成 “路過式下載”（譯註：指在用戶沒有察覺的情況下，隱蔽地下載惡意程式到用戶的設備中），或者是政府在大規模監控所有人。報道關於黑客攻擊的資訊沒有什麼不對，但我們需要釐清有哪些人可能成為受害者，以及他們面臨的風險有多大。

“普通大眾應該知曉問題的存在，對軟體進行更新，但無疑不應該急於抛棄軟體應用。” 伍德沃德說，“值得贊颺的是，WhatsApp 發現了這個幾乎無法察覺的安全漏洞。”

“沒有軟體是 100% 安全的。” 他說，“祗要保持良好的安全操作行為習慣，比如保證密碼不被泄漏，及時更新應用，那麼大多數人應該不會受到這個漏洞的影響，即便你本人就是攻擊者的目標。”

周一的新聞提醒我們，儘管存在那種得到政府機構支持的復雜黑客攻擊，它們隻以極少數人為目標，我們將應用更新到最新版本總不會有什麼壞處。

翻譯：王燦均（@何無魚）

You probably weren’t a target of the WhatsApp surveillance hack