Meta开源释出浏览器外挂Code Verify，可验证Web版WhatsApp传输档案的真实性

IGN • 2023年10月1日 11:22 • 投稿

Meta宣布释出一项浏览器外挂软件，以确保Web版WhatsApp传输内容没有被人窜改，可在三大浏览器的外挂软件市集下载。

WhatsApp去年宣布多装置策略，即允许用户以Web、Windows及macOS等版本App，从主要手机以外的装置使用WhatsApp。此后使用Web版的用户愈来愈多。 WhatsApp最新开源释出Code Verify，可自动验证送到浏览器的Web代码，以确保通过Web版WhatsApp传输的档案或程序没有经过窜改或变更。

WhatsApp解释，手机版WhatsApp App提供全程加密，但Web版信息是由发发者直接送给收讯者，并没有第三方单位验证和审计代码。 Web环境下的传输的威胁来源是手机App版没有的，像是浏览器插件。此外，由于App多半是在互联网出现后开发的，尤其是App多半经过App软件商店平台的审核，之后也都会获得软件更新，本质上比Web版更为安全。

Code Verify是由Meta开源团队和Cloudflare合作提供，号称能提升WhatsApp Web传输的安全性。它是以业界常用的子资源完整性（subresource integrity）概念扩展而成，这种安全功能是让浏览器来验证它取得的资源未经非法变更。不过这类安全功能只用于单一档案，而Code Verify则可检查整个网页内的资源。

图片来源/Meta

Cloudflare在这项合作中扮演信赖第三方，且协助处理更大资源量。当启用Code Verify这个插件时，它会自动比对在 WhatsApp Web 上的程式、及已经由 WhatsApp 验证过（且交给Cloudflare）的杂凑值。如果代码经过窜改，用户就会获得通知。 WhatsApp强调，虽然比对哈希值不是新技术，但自动、且大规模执行则是创举。

Code Verify可在主要浏览器包括谷歌 Chrome、Microsoft Edge及Mozilla Firefox的外挂市集下载。一旦安装后，Code Verify会在用户开启WhatsApp Web时自动启动，准备侦测有异状时实时发出警示。

WhatsApp强调，Code Verify不会记录任何资料、meta data或用户资源，也不会分享任何资料给WhatsApp及Cloudflare。它也不读取WhatsApp上收发的信息，甚至Meta及WhatsApp连用户是否下载Code Verify外挂都不知道。