Posted byOCF Lab
發表迴響

作者 | 林冠廷
實習編輯 |王彥涵
照片來自 |Yuri Samoilov (Flickr)

有用過 Telegram 嗎?就算沒用過但你一定聽過身邊朋友推薦使用 Telegram 讓通訊更安全。由俄國 Durov 兄弟開發設計的通訊軟體,除了主打免費、介面無廣告之外,更大力宣傳通訊的隱私與安全性,官網也宣稱用戶的訊息經過所謂「重度加密」(heavily encrypted)的方式處理。

而Telegram 建立的良好形象,讓它成為香港反送中期間的重要溝通橋梁。但意外的是,Telegram的安全性 並非如官方所說來的滴水不漏,一篇在《Hacker Noon》的文章中,作者甚至批評其為「故意設計成不安全」的軟體。

資料一把抓,通訊紀錄、個人資訊通通存在 Telegram 伺服器

長期以來 Telegram 最為人詬病的問題在於:私人訊息預設非「點對點加密」(end-to-end encryption)。訊息開啟點對點加密後,只有對話的兩方擁有金鑰,看得到加密後訊息。如知名隱私通訊軟體 Signal,甚至是商業公司營運的競爭對手 LINE、WhatsApp 等,都開啟點對點加密;反而是 Telegram 要求使用者必須特別使用「私密對話」(Secret Chat),才會獲得這項功能,隱私安全大打折扣。

《Hacker Noon》的文章作者 Raphael Mimoun 批評,Telegram 的一般訊息不但沒有點對點加密,所有記錄還存在官方伺服器中。包含 Telegram 的員工或駭客,只要取得伺服器權限,就可以窺探你跟朋友下週要去哪裡吃飯,或是你傳給同事的公司機密。Mimoun 引用資安研究者 The Grugq 的話,「這是一個安全性的惡夢」。

不只通訊資料,Telegram 還會儲存你通訊的「後設資料」(metadata)。Mimoun 表示,後設資料包含了你談話的對象、時間、群組成員、他們的地點與 IP 位址等。以 Signal 為例,他們收集的只有使用者建立帳號的時間,還有通訊發生的時間,其他一無所知。

後設資料並非無傷大雅的資訊,Mimoun 引述前美國國安局長的話,表示「美國政府基於後設資料所提供的資訊就足以殺人」。

從通訊軟體變成社群媒體,Telegram 可能變成下一個可怕的社交巨人

雖然 Telegram 披著通訊軟體的皮,骨子裡卻與社群軟體相差無幾。《Hacker Noon》的文章指出,Telegram 支援 20 萬人規模的社團與頻道,提供管理員權限,讓成員之間互相交流,或是單方面傳播訊息。這些功能與臉書的社團、粉絲專頁極為相像,但政府與民間往往沒有將監管社群軟體如臉書、Twitter 上的言論真實性與煽動性的力道,同樣施加在披著通訊軟體外衣的 Telegram 身上。

Mimoun 說,香港反送中運動在 2019 年夏天時,許多成員紛紛轉移陣地到 Telegram 互動,卻因為軟體的漏洞,讓攻擊者可以收集所有群組成員的電話號碼,且不受他們的隱私設定影響。加上使用者均透過電話號碼註冊、登入 Telegram,以及中國政府操控香港電信網路的現狀,獨裁政府如果獲得了電話號碼,就可以登入使用者帳號,查看訊息。

另外,Telegram 不時行使審查權,刪除 ISIS 或白人極端主義者帳號一事雖較無爭議,但也顯示出 Telegram 的權力與責任,比我們想像來得大,卻缺乏第三方監督力量,未來若使用者遭遇資料外洩、言論審查時,自然難以自保。

廣告誇大、商業運作不清,Telegram 必須負起責任

綜觀以上紀錄,可以發現 Telegram 最大問題是廣告誇大、資訊不清。根據《Hacker Noon》,他們宣傳自己是「重度加密」的服務,卻不使用業界標準、經過千錘百鍊的加密機制,還硬要另創造一個被密碼學專家評為非標準的加密機制——MTProto,此加密機制並未經過全面且嚴謹的檢測,可信度仍待評估。同時,放棄預設點對點加密、種種資安漏洞,讓 Telegram 的信譽愈來愈低。

另外,Telegram 目前主要在反人權重鎮杜拜運作,又差點進行加密貨幣募資計劃,募集逾 17 億美金與大量現金,遭美國法院裁定不符財務規範而禁止,整起事件讓人更加難以信任 Telegram 的經營信譽。反觀競爭對手,以 LINE 為例,雖然同樣有安全漏洞系統不順、廣告惱人、貼圖昂貴、對店家高額收費惡名昭彰,但至少預設開啟點對點加密,且商業模式明確,總部設在民主、自由的東京,展現的誠意明顯高於 Telegram。

未來若 Telegram 要贏回消費者的信心,應該以業界標準預設開啟加密,避免儲存使用者後設資料,建立審查監督機制與永續的營運模式,讓 Telegram 重返昔日光榮。

  • 本文章授權條款採 創用 CC BY (姓名標示) 4.0
  • 本文章同步刊載於《INSIDE》雜誌網站,標題和前言與《INSIDE》刊出版本略有不同。

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

Gravatar
WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

取消

連結到 %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.