編者注:本文作者為 Ben Dickson,TechTalks創始人,同時也是外媒科技、商業、政治等相關刊物專欄作家。前段時間,多個國家爆發網絡病毒,用戶隱私與科技之間的拉鋸戰一度成為熱門話題。
WhatsApp、Messenger、Facetime、iMessage、Allo、Telegram、Hangouts、Skype,市場上這些主流的聊天應用一應俱全,滿足用戶各式各樣的聊天需求。每類應用多達幾千萬、甚至數億用戶。
但是,并不是所有的聊天應用都能夠保證你的隱私和信息安全。一款應用要做到安全可靠,制作的成本越來越高,且十分不易。我們在使用聊天軟件的時候,不論是發送私人、政治還是商業相關的信息,都涉及一定的敏感內容。我們常常理所當然地認為聊天內容保密,直到我們發現真相的時候為時已晚。
此外,每個人多多少少有些不想為人知的秘密。
所以不論你是泄露專政的國家機密,或是給同事發送公司交易內幕,亦或是純粹發個自拍照,你都應該擔心這些聊天應用的安全問題。
以下是四個可以用來衡量你最喜愛應用的安全性能的標準。
加密
加密就是通過計算程序來擾亂數據,這種方法對于防止別人解讀私密信息來說最為有效。所有的主流聊天應用基本都通過加密的方式來保護隱私。
但是并不是所有加密服務都遵守規則。事實上,有一些服務商會特意保留密鑰來查看你的信息。他們通常會分析你發送的信息,然后交給相應的廣告商或者儲存在機器學習演算的數據庫里。
但是這也意味著,不法分子會鉆空子,盜用你的數據。
最安全的應用所使用的是端對端加密(E2EE),這種加密方式會確保只有發送和接收者才能夠有權限閱讀內容。即使服務提供商將你的短信存在自己的服務器上,它也不能解密閱讀。
現在行業內端對端加密的標桿是Open Whisper Systems的Signal Protocol,它被運用在一款深受Edward Snowden和著名加密專家Bruce Schneier喜愛的聊天應用中。此外,其他出名的聊天軟件Facebook Messenger、WhatsApp以及Telegram都使用Signal加密協議。
但是,注意有些應用不會默認使用E2EE,還有一些為了方便用戶,不會發出切換的警告。盡管這些未必算作弱點,但是它們仍然證明了單單端對端加密背后的數學計算是遠遠不夠的。
開源代碼
近年來,“公開透明”被認為是軟件開發安全的重要保障。但是,更有說服力的是開發人員通過開源的方式邀請大家一起來審核監督。
開源本身并不會讓應用變得安全,但是這種做法卻能夠讓安保專家有機會看到編碼,并且洞察潛在的問題和電腦病毒。使用“圍墻花園”的應用會把其他人隔絕在外,所以這些應用的用戶就必須默認公司已經實施測試并且解決了編碼中的漏洞。
Telegram和Signal是兩款比較經典的開源聊天應用。
短信刪除
如果你的電話沒有設置密碼且落入他人手中,或者你的賬號已被泄露,那么再多的加密都沒有辦法保護你的隱私。這就是為什么刪除短信也能夠算作是一道有力的防線。
很多應用允許你刪除個人信息,或是從你的賬號或設備中刪掉整個聊天記錄。但是,要做到安全保障就必須讓發送者能夠刪掉所有收件人設備上的信息。
Telegram、Signal和Wickr有一個自我毀滅功能,如果設置這個功能,應用能夠在一段時間過后自動刪除所有信息。
元數據儲存最小化
除了你的短信內容,每一個聊天服務都儲存很多信息,比如發送的時間、收件人等等。這些就叫做元數據,也就是數據的數據。
盡管乍一看這些元數據的內容并不涉及隱私,但是實際上很多信息能夠從中泄露出來,比如你的聯系人、使用模式、地點等等。不過,元數據并沒有像短信內容那樣經過加密或者受到保護。
在2014年波士頓SOURCE會議的主題演講中,Bruce Schneier說道:“元數據比我們的聊天內容更加私密,它們能夠透露我們的行蹤、興趣以及各種人際關系,進而可以暴露我們自身。”
執法部門依賴元數據來識別罪犯和恐怖分子并且將他們捉拿歸案;軍隊也通過從元數據獲得的信息來部署空襲。
這樣看來,元數據的重要性就不言而喻了,試想如果落入不法分子手中則會造成多少不可磨滅的傷害。因此聊天應用儲存的元數據越少,就越安全。你需要時不時的查看聊天軟件中的元數據協議。
Signal只會儲存每個用戶最后一次連上服務器的數據,這在所有主流聊天應用中是最少的。
留給你思考的空間
看完本文你可以估算每個聊天應用的可信度了。但這并不意味著你需要將不符合以上規則的應用束之高閣,而是千萬不可將信息安全視為理所當然,進而過分地信賴某個應用。
同時,請記住短板效應,也就是說如果在不安全的設備上使用安全的聊天軟件也將無濟于事。別忘了遵守網絡安全準則,使用強密碼,更新系統,給設備設置密碼,時刻保持安全意識。
京公網安備 11010502049343號