隨著棱鏡門、Facebook用戶信息泄露事件的爆發(fā)�����,國外網(wǎng)民對(duì)信息安全空前關(guān)注���。甚至網(wǎng)友們也在谷歌上瘋狂搜索什么類型的加密軟件最好�。
不僅在國外�,在國內(nèi),近期各項(xiàng)信息安全規(guī)定和法律的出臺(tái)���,以及“國資云”項(xiàng)目的啟動(dòng)���,都預(yù)示著數(shù)據(jù)安全時(shí)代的到來。個(gè)人隱私和商業(yè)秘密逐漸成為通信軟件關(guān)注的焦點(diǎn)���。因此���,網(wǎng)友們也前所未有地學(xué)習(xí)各種信息安全知識(shí)����,以便選擇更好的加密聊天軟件����。小編調(diào)查了13款國外通信軟件,從各個(gè)安全標(biāo)準(zhǔn)和維度對(duì)它們進(jìn)行了對(duì)比評(píng)價(jià)�����。
這13 個(gè)應(yīng)用程序是:Google Messages�、Apple iMessage、Facebook Messenger���、Element(以前稱為Riot)�、Signal���、Microsoft Skype�����、Telegram�����、Threema�、Viber、WhatsApp�、Wickr Me、Wire 和Session����。 (本文主要APP的數(shù)據(jù)和信息主要來自母公司官網(wǎng)和不同社交媒體提供的信息(包括安全消息應(yīng)用程序、湯姆指南�����、techradar���、ZDNet、卡巴斯基�、AVG))
1、基建母公司管轄:
這13款軟件中��,母公司大多隸屬于英國����、美國、澳大利亞�,其中70%以上來自美國����?�;A(chǔ)設(shè)施的布局也主要在美國�,輻射到世界不同地區(qū)。雖然Viber的母公司分別是日本和盧森堡�����,但部署地點(diǎn)仍然是美國����。只有Threema 的母公司和基礎(chǔ)設(shè)施位于瑞士。
2��、與情報(bào)機(jī)構(gòu)的合作:
盡管這些通訊軟件旗下的公司不是國企���,但仍有五家公司有向情報(bào)機(jī)構(gòu)提供用戶數(shù)據(jù)的歷史(Google Messages��、Apple iMessage����、Facebook Messenger、微軟Skype 和WhatsApp)�����。
3.內(nèi)置監(jiān)控功能:
使用軟件的過程應(yīng)該被定義為用戶的私人領(lǐng)域�。不幸的是,仍然有一個(gè)APP(微軟Skype)在用戶使用過程中監(jiān)控用戶的信息和習(xí)慣�。
4、提供公開透明的報(bào)告:可能涉及運(yùn)營模式���、產(chǎn)品數(shù)據(jù)�、專利等敏感信息�����。 Element(原Riot)�����、Telegram 和Viber 選擇不提供高度透明的公共業(yè)務(wù)報(bào)告�。 5��、公然收集用戶數(shù)據(jù):“個(gè)人隱私數(shù)據(jù)就是免費(fèi)使用的代價(jià)”��。 —— 在充斥著類似概念的互聯(lián)網(wǎng)環(huán)境下,巨頭們瘋狂收割網(wǎng)友信息����,為更精準(zhǔn)的大數(shù)據(jù)分析貢獻(xiàn)力量。但近年來�����,隨著公眾隱私意識(shí)的覺醒��,這種觀點(diǎn)越來越站不住腳�。人們寧愿使用付費(fèi)模式,也不愿意讓自己的碎片化信息暴露在陽光下����。根據(jù)歷史數(shù)據(jù),谷歌���、蘋果����、Facebook�����、微軟、帕維爾·杜羅夫����、亞馬遜和Viber的母公司都選擇公開收集用戶信息。
6���、APP收集用戶信息并發(fā)送給母公司或第三方機(jī)構(gòu):通過收集用戶數(shù)據(jù)�,軟件可以分析群體畫像����,為企業(yè)策略提供參考;另一方面����,可以通過“用戶信息共享”實(shí)現(xiàn)行業(yè)合作,在賺取不義之財(cái)?shù)耐瑫r(shí)�����,鞏固和擴(kuò)大業(yè)務(wù)圈�����。不幸的是���,在這種暴利趨勢(shì)下����,大多數(shù)應(yīng)用程序都陷入了深淵�。 —— Facebook Messenger、WhatsApp�、Viber、Google Messages 和Apple iMessage 基本上收集用戶的全維度信息�,包括健康、財(cái)務(wù)����、位置、搜索歷史����、瀏覽歷史、數(shù)據(jù)等敏感數(shù)據(jù)��。其他應(yīng)用程序或多或少收集常見數(shù)據(jù)�����,例如聯(lián)系人和位置�。值得一提的是�,Session作為一張白紙���,沒有任何證據(jù)表明其收集了用戶數(shù)據(jù)���,也沒有任何線索表明其將用戶數(shù)據(jù)移交給了母公司。 7���、默認(rèn)不開啟加密功能:加密功能默認(rèn)開啟��,決定了App開發(fā)者對(duì)安全通信的重視�。小編經(jīng)過調(diào)查發(fā)現(xiàn)��,這13款應(yīng)用中����,F(xiàn)acebook Messenger、微軟Skype和Telegram均默認(rèn)關(guān)閉��。 Viber 和WhatsApp 是否默認(rèn)開啟取決于用戶的設(shè)備���。
8��、加密算法不安全:加密算法的復(fù)雜程度決定了產(chǎn)品的安全性���。復(fù)雜的加密模式會(huì)大大增加破解成本。復(fù)合���、多維度的加密模式將使劫持難度呈幾何級(jí)數(shù)增加����,從而達(dá)到最佳的安全防護(hù)�。目的。這13款應(yīng)用大部分采用了Curve25519��、AES-256�����、HMAC-SHA256等主流加密算法��。其中���,蘋果iMessage和微軟Skype仍然使用極其脆弱的SHA-1(安全哈希算法1)�。 SHA-1早在2005年就已經(jīng)得到分析師的證實(shí)��,并公布了有效的攻擊方式���。對(duì)于資金和計(jì)算資源相對(duì)充裕的黑客來說���,SHA-1很難抵御�����?��?梢娺@兩款A(yù)pp的算法還差強(qiáng)人意。 9�����、軟件和服務(wù)器不開源:開源軟件不受官方限制�,可以通過更多渠道進(jìn)行擴(kuò)展和應(yīng)用??蛻羯踔量梢园凑兆约合矚g的方式維護(hù)和改進(jìn)產(chǎn)品本身。開源是一種更符合互聯(lián)網(wǎng)精神的舉措�����。不幸的是�����,只有Element、Signal�、Session和Wire采用完全開源的機(jī)制。 10.可重復(fù)構(gòu)建(Reproducible Builds)反向驗(yàn)證App不支持:雖然任何人都可以檢查免費(fèi)開源軟件的源代碼是否存在惡意缺陷���,但大多數(shù)軟件都是預(yù)編譯的,無法確認(rèn)它們是否對(duì)應(yīng)��。因此���,Reproducible Builds可以驗(yàn)證編譯過程中是否引入了漏洞或后門��,從而防止威脅和攻擊�。不幸的是�,只有Telegram 支持IOS 和Android 上的驗(yàn)證,Threema 和Signal 只支持Android 上的驗(yàn)證���,其他應(yīng)用程序不允許重復(fù)構(gòu)建�����。
11�����、支持匿名注冊(cè):雖然很多通訊軟件都希望通過匿名注冊(cè)的方式讓網(wǎng)友提前體驗(yàn)產(chǎn)品�����,增加粘性���。然而��,匿名注冊(cè)不僅會(huì)增加無效用戶數(shù)量����、降低進(jìn)入門檻�����,還會(huì)使注冊(cè)用戶面臨潛在的信息安全威脅�����。目前只有Element�����、Threema、Wickr Me 和Session 支持匿名注冊(cè)�����。 12. 可以通過修改目錄服務(wù)器來啟用中間人攻擊:中間人攻擊(MITM)是一種攔截正常網(wǎng)絡(luò)通信數(shù)據(jù)并進(jìn)行數(shù)據(jù)篡改和嗅探的攻擊方式��。整個(gè)溝通過程雙方都沒有任何知情����。令人震驚的是����,除了Google Messages使用RCS而不是目錄服務(wù)器之外,所有列出的應(yīng)用程序都支持通過修改目錄服務(wù)器進(jìn)行中間人攻擊���。安全性可想而知����。 13�、指紋變化不會(huì)通知用戶:指紋識(shí)別是識(shí)別用戶身份的一種方式,就像登錄密碼一樣���。變更后應(yīng)提醒用戶�����,以便用戶立即意識(shí)到自己賬戶的安全性���。調(diào)查顯示�,蘋果iMessage�����、Skype�、WhatsApp 和Telegram 并未告知用戶此事。 14���、個(gè)人信息未經(jīng)過哈希處理:哈希算法在密碼學(xué)中的主要作用是進(jìn)行消息摘要和簽名�,主要用于消息完整性驗(yàn)證���。哈希算法是不可逆的�,用于在密文中保存密碼的簽名���。網(wǎng)站后臺(tái)只保存簽名值����。這樣,即使App中保存的信息被盜���,也無法獲取用戶的密碼���,安全性更高。在這13款應(yīng)用中����,只有Element、Threema和Wickr Me完全使用哈希來處理用戶的手機(jī)號(hào)碼�、聯(lián)系人和其他私人信息。
綜合以上14個(gè)指標(biāo)���,這13款通訊App中,相對(duì)安全的只有Signal��、Threema和Wire���。但這三款軟件仍然存在不同程度的安全問題�,這三款軟件仍然沒有擺脫信息安全——公有云存儲(chǔ)信息的根源問題����。因此�,跳回國內(nèi)��,如果有一款通信軟件能夠滿足私有云部署的嚴(yán)酷條件��,基本上就可以避免上述14個(gè)標(biāo)準(zhǔn)中提到的大部分問題�����。從小編目前走訪市場(chǎng)的結(jié)果來看�,國產(chǎn)通訊軟件要么追求快速獲客(免費(fèi)使用)而忽視安全技術(shù)加持,要么加密技術(shù)不足�,要么使用場(chǎng)景單一,要么功能不豐富�。夠齊全,不然成本太高(搭建專業(yè)服務(wù)器進(jìn)行私有化部署).目前只有一款通訊軟件可以滿足高性價(jià)比的需求����,私有化部署,頂尖的加密技術(shù)�����,好資料安全防護(hù)硬件����,全面強(qiáng)大的通訊軟件�,那就是新源豆�����。小編目前正在試用中�,以后會(huì)重新寫一篇試用體驗(yàn)的文章,供關(guān)注信息安全的朋友參考���。
