美原國安顧問瓦爾茲用的通訊軟體可能大洩密 駭客20分鐘就破解
因為「訊號門」通訊軟體醜聞而下台的美國原國家安全顧問瓦爾茲(Mike Waltz),被鏡頭抓到使用的通訊軟體,恐怕比Signal有更大的洩密危機。路透社報導至少一名駭客有撈到美國官員使用該軟體時的大量情報資料,而《連線》雜誌(Wired)指出,駭客只花20分鐘就輕鬆破解了這個「加密」通訊軟體。
問題的焦點在瓦爾茲曾使用的TeleMessage通訊軟體。這個軟體其實是「訊號」(Signal)的非官方套皮軟體,可透過這個app交換Signal帳號的內容,但安全措施遠不如訊號。
路透社週三(21日)獨家報導,根據美國非營利組織「分散阻斷秘密」(Distributed Denial of Secrets,DDoSecrets)所獲得的TeleMessage外洩資料,在截至5月4日的大約一天內時間,TeleMessage外洩的資料就包括美國的美國聯邦急難救助署(FEMA)官員、海關官員、數名外交人員以及至少一名白宮人員以及特勤局人員。
這些資料零零碎碎,路透社檢視到的內容沒有太敏感的資訊,但是曾在美國國安局擔任網路安全專家的威廉斯(Jake Williams)指出,就算外洩的資料讀起來好像沒有什麼大不了的,但是這些資料的元資料(metadata),仍舊會洩漏太多東西。
威廉斯說,這些元資料記載的內容,像是誰在何時進行對話,仍舊構成龐大的情報風險。
連線雜誌則顯示這個Signal的套皮軟體有多脆弱。儘管TeleMessage聲稱和Signal一樣,是「端對端」的加密通訊,但實際上該服務會把通訊內容直接存放到網站上,駭客能輕鬆破解。
在瓦爾茲4月30日查看TeleMessage的照片浮現後,一名駭客向連線雜誌的記者說,他很快就去試著看看TeleMessage的安全狀況。結果他很快就發現TeleMessage的登入密碼使用不夠安全的加密模式,他也很快找到TeleMessage放置通訊暫存內容的網址,下載了至少一名美國海關及邊境保衛局(CPB)的通訊內容。
這些破解過程只花了15到20分鐘。《連線》的報導指出,只要能掌握像是瓦爾茲這樣的重要人物在何時使用TeleMessage通訊,以同樣的手法就能輕鬆從暫存內容中撈到他的通訊內容。
TeleMessage傳出被駭的的安全漏洞後,已經自行宣布「出自謹慎」,從5月5日開始停止營運至今。路透社的報導並未提到《連線》的內容,並不知道路透社查看到的外洩內容與《連線》報導的內容是否有重疊。
留言 1