您的消息应用程序真的安全吗?

消息应用程序是我们每天使用的最重要的应用程序之一。(the )无论是与世界各地的 家人和朋友保持联系、联系同事还是开展业务运营, (family and friends)WhatsApp、iMessage、Skype 和 Facebook Messenger(Skype and Facebook Messenger)等消息传递应用程序在我们的日常交流中都发挥着重要作用。

我们经常在消息应用程序上分享个人照片、商业机密和法律文件等内容,这些信息我们不想让错误的人获得。但是,我们可以在多大程度上信任您的消息应用程序来保护我们所有的机密消息和敏感信息?

以下是一些指导方针,可帮助您评估您最喜欢的消息传递应用程序(messaging app)将提供的安全级别。

关于加密的几句话

当然,所有消息传递平台都声称会加密您的数据。加密使用数学方程式在转换过程中对您的数据进行加扰,以防止窃听者读取您的消息。

适当的加密可确保只有消息的发件人和收件人知道其内容。然而,并非所有类型的加密都是平等的。

最安全的消息传递应用程序(messaging apps)是那些提供端到端加密 ( E2EE ) 的应用程序。E2EE 应用程序仅将解密(store decryption)密钥存储在用户的设备上。E2EE不仅可以保护您的通信免受窃听,还可以确保托管应用程序的公司无法读取您的消息。这也意味着您的消息将受到三字母机构的保护,免受数据泄露和侵入性授权的侵害。

越来越多的消息传递应用程序正在提供端到端加密。Signal是最早支持E2EE的平台之一。近年来,其他应用都采用了Signal加密协议(encryption protocol) 或开发了自己的E2EE 技术(E2EE technology)示例(Examples)包括WhatsApp、Wickr 和 iMessage。

Facebook Messenger 和 Telegram(Facebook Messenger and Telegram)也支持E2EE 消息传递(E2EE messaging),但默认情况下未启用,这使得它们的安全性降低。Skype最近还添加了“私人对话”选项,该选项可为您选择的一个对话提供端到端加密。

谷歌的环聊(Hangouts)不支持端到端加密,但该公司提供了端到端加密的Allo 和 Duo(Allo and Duo)短信和视频(text messaging and video)会议应用。

消息删除

安全性不仅仅是加密消息。如果您的设备或与您聊天的人的设备被黑客入侵或落入坏人之手怎么办?在这种情况下,加密几乎没有用处,因为恶意行为者将能够看到未加密格式的消息。

保护您的消息的最佳方法是在您不再需要它们时将其删除。这样可以确保即使您的设备遭到入侵,恶意行为者也无法访问您的机密和敏感消息。

所有消息应用程序都提供某种形式的消息删除(message deletion),但同样,并非所有消息删除(message removal)功能都同样安全。

例如,环聊和 iMessage 使(Hangouts and iMessage enable)您能够清除聊天记录。但是,虽然消息将从您的设备中删除,但它们仍会保留在与您聊天的人的设备上。

因此,如果他们的设备遭到入侵,您仍然会失去对敏感数据的控制。值得称赞的是,环聊(Hangouts)有一个禁用聊天记录的选项,这将在每次会话后自动从所有设备中删除消息。

TelegramSignalWickr 和 Skype(Wickr and Skype)中,您可以删除对话各方的消息。这可以确保敏感通信不会保留在对话中涉及的任何设备中。

WhatsApp在 2017 年还添加了“为所有人删除”选项,但您可以使用它仅删除您在过去 13 小时内发送的那些消息。Facebook Messenger最近还添加了“未发送”功能,尽管它仅在您发送消息后 10 分钟内有效。

SignalTelegram 和 Wickr(Telegram and Wickr)还提供了自毁 消息功能(message feature),在经过配置的时间段后,它将立即从所有设备中删除消息。此功能特别适用于敏感对话,可省去您手动擦除消息的工作量。

元数据

每条消息都带有大量的辅助信息,也称为元数据,例如发送者和接收者 ID(sender and receiver IDs)、消息发送、接收和读取的时间、IP 地址、电话号码、设备ID(IDs)等。

消息服务器存储和处理此类信息,以确保消息按时交付给正确的收件人,并使用户能够浏览和组织他们的聊天日志。

虽然元数据不包含消息文本(t contain message text),但如果落入坏人手中,它可能非常有害,并且会泄露很多关于用户通信模式的信息,例如他们的地理位置、他们使用应用程序的时间、与他们通信的人等。

万一消息服务成为(messaging service)数据泄露(data breach)的受害者,此类信息可能会为网络钓鱼和其他社会工程计划等网络攻击铺平道路。

大多数消息传递服务收集大量元数据,不幸的是,没有确切的方法可以知道消息传递 服务存储的信息类型。(information messaging)但据我们所知,Signal拥有最好的业绩记录(track record)。据该公司称,其服务器仅注册您创建帐户时使用的电话号码(phone number)以及您登录帐户的最后日期。

透明度

每个开发者都会告诉你他们的消息应用程序是安全的,但你怎么能确定呢?你怎么知道该应用程序没有隐藏政府植入的后门?您如何知道开发人员在测试应用程序方面做得很好?

应用程序公开其应用程序的源代码(source code)(也称为“开源”)更加可靠,因为独立的安全专家可以检查并确认它们是否安全。

SignalWickr 和 Telegram(Wickr and Telegram)是开源消息应用程序(messaging apps),这意味着它们已经过独立专家的同行评审。Signal尤其得到了 Bruce Schneier 和 Edward Snowden 等安全专家的支持。

WhatsApp 和 Facebook Messenger(WhatsApp and Facebook Messenger)是封闭源代码,但它们使用开源信号协议(Signal Protocol)来加密它们的消息。这意味着您至少可以放心,拥有这两个应用程序的Facebook不会查看您的消息内容。

对于 Apple 的 iMessage 等完全闭源的应用程序,您必须完全信任开发人员,以免犯下灾难性的安全错误。

需要明确的是,开源并不意味着绝对安全。但至少您可以确保该应用程序(app isn)没有隐藏任何令人讨厌的东西。



About the author

我是计算机专家,专门研究 iOS 设备。自 2009 年以来,我一直在帮助人们,我在 Apple 产品方面的经验使我成为满足他们技术需求的完美人选。我的技能包括: - 维修和升级 iPhone 和 iPod - 安装和使用 Apple 软件 - 帮助人们找到最适合他们的 iPhone 和 iPod 的应用程序 - 从事在线项目



Related posts