Meta開源釋出瀏覽器外掛Code Verify，可驗證Web版 ... - iThome

WhatsApp去年宣布多裝置策略，即允許用戶以Web、Windows及macOS等版本App，從主要手機以外的裝置使用WhatsApp。

此後使用Web版的用戶愈來愈多。

WhatsApp ... 移至主內容 文/林妍溱 | 2022-03-14發表 Meta宣布釋出一項瀏覽器外掛軟體，以確保Web版WhatsApp傳輸內容沒有被人竄改，可在三大瀏覽器的外掛軟體市集下載。

WhatsApp去年宣布多裝置策略，即允許用戶以Web、Windows及macOS等版本App，從主要手機以外的裝置使用WhatsApp。

此後使用Web版的用戶愈來愈多。

WhatsApp最新開源釋出CodeVerify，可自動驗證送到瀏覽器的Web程式碼，以確保透過Web版WhatsApp傳輸的檔案或程式沒有經過竄改或變更。

WhatsApp解釋，手機版WhatsAppApp提供全程加密，但Web版訊息是由寄發者直接送給收訊者，並沒有第三方單位驗證和稽核程式碼。

Web環境下的傳輸的威脅來源是手機App版沒有的，像是瀏覽器外掛程式。

此外，由於App多半是在網際網路出現後開發的，尤其是App多半經過App軟體商店平臺的審核，之後也都會獲得軟體更新，本質上比Web版更為安全。

CodeVerify是由Meta開源團隊和Cloudflare合作提供，號稱能提升WhatsAppWeb傳輸的安全性。

它是以業界常用的子資源完整性（subresourceintegrity）概念擴展而成，這種安全功能是讓瀏覽器來驗證它取得的資源未經非法變更。

不過這類安全功能只用於單一檔案，而CodeVerify則可檢查整個網頁內的資源。

圖片來源／Meta Cloudflare在這項合作中扮演信賴第三方，且協助處理更大資源量。

當啟用CodeVerify這個外掛時，它會自動比對在WhatsAppWeb上的程式、及已經由WhatsApp驗證過（且交給Cloudflare）的雜湊值。

如果程式碼經過竄改，用戶就會獲得通知。

WhatsApp強調，雖然比對雜湊值不是新技術，但自動、且大規模執行則是創舉。

CodeVerify可在主要瀏覽器包括GoogleChrome、MicrosoftEdge及MozillaFirefox的外掛市集下載。

一旦安裝後，CodeVerify會在用戶開啟WhatsAppWeb時自動啟動，準備偵測有異狀時即時發出警示。

WhatsApp強調，CodeVerify不會記錄任何資料、metadata或用戶資源，也不會分享任何資料給WhatsApp及Cloudflare。

它也不讀取WhatsApp上收發的訊息，甚至Meta及WhatsApp連用戶是否下載CodeVerify外掛都不知道。

熱門新聞 全家史上最大規模POS改造，不只砸上億導混合雲，雙模式三大設計一機通吃大小店種和戶外擺攤 2022-09-15 禁用第三方墨水匣惹議，HP與Euroconsumers和解 2022-09-13 蘋果iPhone市占為13%，獲利卻占全球手機的75% 2021-10-15 臺灣資安業者TeamT5引進日本創投6百萬美元A輪策略性募資 2022-09-13 勒索軟體新趨勢：以間歇加密來躲避偵測 2022-09-12 【資安日報】2022年9月12日，研究人員揭露攻擊微軟Teams的手法GIFShell、惡意軟體Bumblebee埋藏在受害電腦記憶體內運作 2022-09-12 【資安週報】2022年9月5日到9月9日 2022-09-11 微軟PatchTuesday修補63個安全漏洞，當中一個已被濫用 2022-09-14 Advertisement 2022iThome鐵人賽 專題報導 iThome2022資安大調查（上） 【iThome2022CIO大調查(下)】各產業數位轉型加速，IT大步邁向雲原生 分散式RAID躍居主流儲存應用 【iThome2022CIO大調查(中)】企業IT新戰力 數位平臺大衝擊！中介法草案出爐 更多專題報導