秘密看光光！Android版WhatsApp曝漏洞：聊天記錄可被竊取

新浪科技訊 北京時間3月13日早間消息，創業公司DoubleThink CTO巴斯·博斯奇特(Bas Bosschert)發現，Android版移動聊天服務WhatsApp的一個安全漏洞，導致其他應用可以訪問和讀取用戶的所有聊天記錄。

博斯奇特已經將使用這一漏洞的方法發布到網上，他還證實，在Android進行了最新一次重大升級后，該漏洞依然存在。

該應用的模式大致如下：Android版WhatsApp將所有的聊天記錄存儲在手機的SD卡上，但其他應用也會申請SD卡的訪問權限，一旦用戶批准，這些應用便可獲取WhatsApp的聊天記錄。而惡意應用則可以借助這一模式直接讀取WhatsApp的聊天資料庫。

精通技術的用戶或許會發現，該問題主要源於Android的數據沙盒系統。博斯奇特已經開發了一款測試應用，可以在上傳資料庫檔案的時候，使用一個可愛的加載屏幕來分散用戶的注意。

在最近的升級后，WhatsApp已經開始加密資料庫，無法再用SQLite打開。但博斯奇特稱，他還是可以用自己的Phython腳本解密該資料庫。

在斥資190億美元收購WhatsApp后，Facebook顯然會加強WhatsApp的安全性。但此次問題卻與Android系統有關：在Android上，任何應用都可以獲得智能手機的全面存儲權限，並可以讀取並上傳其他應用的資料庫。

相比而言，蘋果公司的iOS不允許應用訪問其自身沙盒之外的數據，從而避免了類似的情況發生。(書聿)