微信开发人员在修改 TLS 时引入了安全漏洞

研究人员称，消息应用巨头微信使用了自定义修改版的 TLS 网络协议，因此引入了安全漏洞。微信使用 MMTLS，这是一种基于 TLS 1.3 的加密协议。开发人员基本上对标准 TLS 进行了调整，但应用程序的加密实现方式“与十亿用户使用的应用程序所期望的加密级别不一致，例如它使用确定性 IV 和缺乏前向保密性。”但更彻底的分析显示，它提供了两层加密，明文内容被包裹在“业务层加密”中，而得到的密文则被包裹在 MMTLS 加密中，密文将通过微信网络发送。这有效缓解了对 MMTLS 缺陷的可能的攻击，但这些缺陷在标准版 TLS 中并不存在。

研究人员表示，只有在中国，开发人员才会逆潮流而行，自行开发加密系统，而且一般来说，这些系统都不如标准 TLS 1.3 或 QUIC 实现有效。