文/林冠廷 (OCF Lab)

自從 LINE 大幅提升官方帳號費用,越來越多官方帳號到  Telegram 開設帳號;反送中抗爭者使用 Telegram 傳遞訊息,加上臉書曾於 2018 年承認會過濾訊息是否含有惡意連結與兒童色情圖片,並追蹤使用者上傳內容以推送相關廣告,一時之間,許多人認為使用 Telegram 更能保障隱私,因而紛紛轉到 Telegram 社交,讓原本在臺灣沒沒無名的開源通訊軟體 Telegram 不斷躍上媒體版面。

然而,Telegram 真能百分之百保障使用者的隱私嗎?若真如此,那是否也會因其私密性而滋生犯罪事件,例如先前震撼國際的南韓 N 號房事件?我們能避免悲劇再次發生嗎?

Telegram 並非絕對私密:端到端加密與二步驟驗證需手動開啟

通訊軟體的加密通常可分為「未加密」、「傳輸層加密(transport-Layer encryption)」及「端到端加密(end-to-end encryption)」三種層級。「端到端加密」是最嚴謹的加密層級,意指訊息會在使用者送出後自動加密,只有當訊息抵達對方的接收裝置,該訊息才會自動解密。事實上,Telegram 僅能在「一對一聊天模式」中手動設定「私密對話(secret chat)」,亦即開啟「端到端加密」,無法在群組聊天時開啟。

當 Telegram 的「端到端加密」功能並未被使用者手動開啟時,安全性類似於「傳輸層加密」(註 1 )模式:使用者發出的訊息會在加密後傳遞到伺服器,伺服器解密後,將再次加密的訊息傳遞給接收者,接收者需要再次解密才能看到訊息。這代表就算使用者刪除裝置中的訊息,伺服器內同樣可能留有解密的備份內容,亦即若遇政府或司法要求而提供訊息時,伺服器上的內容可能會曝光。但是,Telegram 聲明會保護使用者免於被第三方窺探訊息內容的自由,也不會協助政府限制言論自由,除非當局能證明是恐怖份子,才會揭露該使用者的 IP 及電話號碼。此外,若不幸被駭,「私密對話」以外的訊息將一覽無遺。

反之,另一款知名的開源通訊軟體 Signal 因採取全面「端到端加密」,訊息從傳送者的裝置加密後發出,會一直保持在加密狀態中傳遞經伺服器,直到接收者的裝置方才解密。由於訊息在傳遞過程中一直維持加密狀態,可確保即使伺服器被駭或被要求提供資料,該訊息仍是加密狀態,無法被第三方讀取內容。

另一個潛在的資安風險在於多數 Telegram 使用者的訊息只能靠手機門號保護,一旦遺失手機,盜用者僅需輸入使用者的手機門號,並攔截驗證簡訊,即可登入 Telegram。因此,Telegram 強烈建議注重安全性的使用者開啟兩步驟驗證,額外設定密碼。早在 2016 年,伊朗就爆出 1500 萬 Telegram 用戶陷入帳號遭駭的危險。駭客團體「火箭小貓」(Rocket Kitten)被指隱身幕後,而「火箭小貓」與政府的關係又相當接近。透過入侵用戶的手機門號,駭客得以窺探 Telegram 訊息,監控民眾是否發表反政府言論。

強調隱私成為培養反社會安全、歧視、危險的溫床?各家通訊軟體都必須面對的難題

保障隱私的通訊軟體能成為公民對抗獨裁政府的利器,但也可能成為滋養犯罪與歧視的溫床,例如南韓駭人聽聞的 N 號房事件:罪犯將在 Telegram 開設的群組聊天室稱為「房間」,在每個房間裡散播不同類型的性暴力圖像影音,藉由收取「進入房間」的盈利,總計有 26 萬名會員涉案、超過 70 名女性受害,本案目前已進入司法程序。

根據 Telegram 的公司政策:「所有 Telegram 的對話或群組對話都在其參與者中保持私密。我們不處理任何關於他們的要求。」不過,Telegram 會審查公開的訊息頻道,也曾跟伊斯蘭國在 2017 年間展開一陣角力。根據 BBC 報導,伊斯蘭國為了宣傳暴力行為,在 Telegram 開設許多公開頻道。這些頻道有如臉書粉絲專頁,大家都可以閱覽。Telegram 雖然緊急下架,但更多頻道如雨後春筍繼續開設,並且壓低訂閱人數,試圖避人耳目。有些頻道則是原本看似無害,在累積追蹤人數到一定程度後,突然開始發布伊斯蘭國的宣傳文宣。

這也暴露了當代科技的兩難:我們追求了保障隱私的通訊方法以對抗政府的極權監控、反對商業公司私自搜集使用者個資並濫用,卻無法限制這些通訊方法的使用目的。在加強隱私以保障人權之際,卻也難以防範在平台上滋養暴力、仇恨與貪婪的勢力。


註:Telegram 使用的加密為自行研發的「MTProto 協定」,詳細資訊可參考官網說明。本文為了方便說明,先以接近的加密方式「傳輸層加密」解析。


  • 本文章授權條款採 創用 CC BY (姓名標示) 4.0
  • 本文章同步刊載於《INSIDE》雜誌網站,標題和前言與《INSIDE》刊出版本略有不同。

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Google photo

您的留言將使用 Google 帳號。 登出 /  變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

連結到 %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.