【猎云网(微信号:ilieyun)】7月5日报道(编译:冬冬)
编者注:本文作者为 Ben Dickson,TechTalks创始人,同时也是外媒科技、商业、政治等相关刊物专栏作家。前段时间,多个国家爆发网络病毒,用户隐私与科技之间的拉锯战一度成为热门话题。
WhatsApp、Messenger、Facetime、iMessage、Allo、Telegram、Hangouts、Skype,市场上这些主流的聊天应用一应俱全,满足用户各式各样的聊天需求。每类应用多达几千万、甚至数亿用户。
但是,并不是所有的聊天应用都能够保证你的隐私和信息安全。一款应用要做到安全可靠,制作的成本越来越高,且十分不易。我们在使用聊天软件的时候,不论是发送私人、政治还是商业相关的信息,都涉及一定的敏感内容。我们常常理所当然地认为聊天内容保密,直到我们发现真相的时候为时已晚。
此外,每个人多多少少有些不想为人知的秘密。
所以不论你是泄露专政的国家机密,或是给同事发送公司交易内幕,亦或是纯粹发个自拍照,你都应该担心这些聊天应用的安全问题。
以下是四个可以用来衡量你最喜爱应用的安全性能的标准。
加密
加密就是通过计算程序来扰乱数据,这种方法对于防止别人解读私密信息来说最为有效。所有的主流聊天应用基本都通过加密的方式来保护隐私。
但是并不是所有加密服务都遵守规则。事实上,有一些服务商会特意保留密钥来查看你的信息。他们通常会分析你发送的信息,然后交给相应的广告商或者储存在机器学习演算的数据库里。
但是这也意味着,不法分子会钻空子,盗用你的数据。
最安全的应用所使用的是端对端加密(E2EE),这种加密方式会确保只有发送和接收者才能够有权限阅读内容。即使服务提供商将你的短信存在自己的服务器上,它也不能解密阅读。
现在行业内端对端加密的标杆是Open Whisper Systems的Signal Protocol,它被运用在一款深受Edward Snowden和著名加密专家Bruce Schneier喜爱的聊天应用中。此外,其他出名的聊天软件Facebook Messenger、WhatsApp以及Telegram都使用Signal加密协议。
但是,注意有些应用不会默认使用E2EE,还有一些为了方便用户,不会发出切换的警告。尽管这些未必算作弱点,但是它们仍然证明了单单端对端加密背后的数学计算是远远不够的。
开源代码
近年来,“公开透明”被认为是软件开发安全的重要保障。但是,更有说服力的是开发人员通过开源的方式邀请大家一起来审核监督。
开源本身并不会让应用变得安全,但是这种做法却能够让安保专家有机会看到编码,并且洞察潜在的问题和电脑病毒。使用“围墙花园”的应用会把其他人隔绝在外,所以这些应用的用户就必须默认公司已经实施测试并且解决了编码中的漏洞。
Telegram和Signal是两款比较经典的开源聊天应用。
短信删除
如果你的电话没有设置密码且落入他人手中,或者你的账号已被泄露,那么再多的加密都没有办法保护你的隐私。这就是为什么删除短信也能够算作是一道有力的防线。
很多应用允许你删除个人信息,或是从你的账号或设备中删掉整个聊天记录。但是,要做到安全保障就必须让发送者能够删掉所有收件人设备上的信息。
Telegram、Signal和Wickr有一个自我毁灭功能,如果设置这个功能,应用能够在一段时间过后自动删除所有信息。
元数据储存最小化
除了你的短信内容,每一个聊天服务都储存很多信息,比如发送的时间、收件人等等。这些就叫做元数据,也就是数据的数据。
尽管乍一看这些元数据的内容并不涉及隐私,但是实际上很多信息能够从中泄露出来,比如你的联系人、使用模式、地点等等。不过,元数据并没有像短信内容那样经过加密或者受到保护。
在2014年波士顿SOURCE会议的主题演讲中,Bruce Schneier说道:“元数据比我们的聊天内容更加私密,它们能够透露我们的行踪、兴趣以及各种人际关系,进而可以暴露我们自身。”
执法部门依赖元数据来识别罪犯和恐怖分子并且将他们捉拿归案;军队也通过从元数据获得的信息来部署空袭。
这样看来,元数据的重要性就不言而喻了,试想如果落入不法分子手中则会造成多少不可磨灭的伤害。因此聊天应用储存的元数据越少,就越安全。你需要时不时的查看聊天软件中的元数据协议。
Signal只会储存每个用户最后一次连上服务器的数据,这在所有主流聊天应用中是最少的。
留给你思考的空间
看完本文你可以估算每个聊天应用的可信度了。但这并不意味着你需要将不符合以上规则的应用束之高阁,而是千万不可将信息安全视为理所当然,进而过分地信赖某个应用。
同时,请记住短板效应,也就是说如果在不安全的设备上使用安全的聊天软件也将无济于事。别忘了遵守网络安全准则,使用强密码,更新系统,给设备设置密码,时刻保持安全意识。