乌龟和Facebook的用户信息泄露,随着这两个世纪大事件的爆发,海外网民对信息安全空前重视。 就连网民都疯狂地在谷歌上搜索什么类型的加密软件最好。
不仅是国外,国内近期相继出台的各类信息安全条文法律和“国资云”项目的启动,都预示着数据安全时代的到来。 由于隐私和商业秘密逐渐成为通信软件的焦点,网民们也空前地学习了各种各样的信息安全知识,优秀的山水出现了更好的加密聊天软件。 小编调查了13种国外通信软件,从各自的安全标准和维度进行了比较评价。
这13款APP分别是谷歌消息、苹果消息、脸书消息、元件(原Riot )、信号、微软Skype、Telegram、 Threegram (本文各APP的相关数据和信息主要来自母公司官网和不同社交媒体提供的资料(securemessagingapps、Tom’s guide、techradar、ZDNet、Kaspersky
1、母公司受基础设施管辖:
在这13种软件中,大部分分母公司隶属于英美澳,7成以上来自美国。 基础设施的配置也以美国为中心,向世界各个地区辐射。 Viber的母公司前后分别是日本和卢森堡,但部署地点依然是美国。 只有Threema的母公司和基础设施设在瑞士。
2、正在与情报机构合作:
虽然这些通信软件所属的企业不是国有企业,但仍有5家公司向信息部门提供用户数据的历史。 (谷歌消息、苹果消息、脸书消息、微软Skype和WhatsApp )。
3、内置监视功能:
的使用过程应该定义为用户的专用区域,很遗憾,有一个M icrosoft Skype (APP ),在用户使用时监视用户的信息和习惯。
4、提供公开透明的报告:
由于可能包含运营模式、产品数据和专利等敏感信息,Element (原Riot )、Telegram和Viber选择不生成透明的公共业务报告。
5、公开收集用户数据:
“隐私数据是免费使用的代价”——在同样观念猖獗的互联网环境中,大公司滥捕网民信息,致力于更准确的大数据分析。 但是,这几年,随着民众隐私意识的觉醒,这种观点越来越站不住脚。 人们想使用付费模式,但不想让自己零碎的信息暴露在阳光下。 历史数据显示,谷歌、苹果、脸书、微软、Pavel Durov、亚马逊、Viber母公司选择公开收集用户信息。
6、APP收集用户信息,发送至母公司或第三方机构:
软件通过收集用户数据,一方面可以分析集团图像,为企业战略提供参考,二方面可以通过“用户信息共享”达成行业合作,在赚取不义之财的同时,稳固拓展商业圈。 不幸的是,在这种谋取巨大利益的潮流中,大多数APP已经坠入深渊。 ——Facebook Messenger、WhatsApp、Viber、Google Messages、Apple iMessage几乎涵盖了用户所有维度的信息,如健康、财务、位置、搜索历史记录等。其他APP可以联系顺便说一下,Session作为一股清流,既没有证据证明收集了用户数据,也没有线索指向母公司提交用户数据
司。7、没有默认打开加密功能:
加密功能的默认开启决定了App开发者对安全通讯的重视程度,经过调查小编发现,这13款APP里,Facebook Messenger、Microsoft Skype和Telegram是默认关闭的。而Viber和WhatsApp的默认开启与否取决于用户设备。
8、加密算法并不安全:
加密算法的复杂程度决定了产品的安全性,复杂的加密模式能大幅度增加破解成本,复合多维的加密模式则会让劫持难度几何级上升,从而达到安全防护的目的。这13款App大部分采用了主流的Curve25519、AES-256、HMAC-SHA256等加密算法。其中,Apple iMessage和Microsoft Skype依然采用安全性极弱的SHA-1(Secure Hash Algorithm 1)。SHA-1早在2005年就已经被分析人员证实并公布了有效的攻击方式。对于有相对充裕的资金和计算资源的黑客来说,SHA-1是难以抵御的。由此可见,这两款App在算法上依旧差强人意。
9、软件和服务器不开源:
开源的软件可以不受官方限制,得到更多渠道的拓展和应用可能。甚至,客户可以用自己喜欢的方式来维护和改进产品本身。开源是一种更符合互联网精神的举措。遗憾的是,仅有Element、Signal、Session和Wire采用了完全开源的机制。
10、不支持可重复构建(Reproducible Builds)反向验证App:
虽然任何人都可以检查免费和开源软件的源代码是否存在恶意缺陷,但大多数软件都是预编译的,无法确认它们是否对应。因此,可重复构建(Reproducible Builds)可以验证编译过程中是否引入漏洞或后门,从而防止威胁和攻击。遗憾的是,仅仅Telegram同时支持在IOS和Android验证,Threema和Signal仅仅支持在Android上验证,其余App均不允许可重复构建。
11、支持匿名注册:
虽然不少通讯软件希望通过匿名注册的方式来让网友提前体验产品,增加粘性。但匿名注册不仅会增加无效用户数,降低进入门槛,还会让已注册用户遭到潜在信息安全威胁。目前仅Element、Threema、Wickr Me和Session支持匿名注册。
12、中间人攻击可通过修改目录服务器开启:
中间人攻击(Man-in-the-Middle Attack, MITM)是通过拦截正常的网络通信数据,并进行数据篡改和嗅探的攻击方式,整个过程通信的双方都毫不知情。令人震惊的是,除了Google Messages使用RCS而不是目录服务器外,在列App全都支持通过修改目录服务器而开启中间人攻击,安全性可想而知。
13、指纹变化不会通知用户:
指纹识别作为辨认用户身份的方式,和登录密码一样,在通过更改后应该提醒用户,从而让使用者第一时间对账户的安全性心中有数。根据调查发现,Apple iMessage,Skype,WhatsApp和Telegram并不会告知用户这一点。
14、个人信息没有经过哈希处理:
哈希算法在密码学中主要作用是用于消息摘要和签名,主要用于消息的完整性校验。哈希算法不可逆,用于密文保存密码的签名,网站后台只保存签名值。 这样即使App内保存的信息被盗取,也无法获取用户的密码,具有更高的安全性。13款APP里仅有Element、Threema和Wickr Me完整地采用哈希处理了用户的手机号码、联系人等隐私信息。
综合以上14个指标看来,这13款通讯App中,相对安全的软件仅有Signal、Threema和Wire。然而,这三款软件也依旧存在不同程度的安全问题,并且,这三款软件依旧没有摆脱信息安全的根源性问题——公有云储存信息。所以,跳转回国内,如果说有一款通讯软件,可以满足私有云部署的苛刻条件,基本可以规避上述14个标准里提到的绝大部分问题。就小编目前走访市场的结果来看,国内的通讯软件里,要么追求极速获客(免费使用)而忽略安全技术加持,要么加密技术不够,要么使用场景单一,要么功能不够全,要么成本过高(搭建专业服务器来私有化部署)……能满足性价比高、私有化部署,加密技术顶流,信息安全防护硬件好,功能全面且强大的通讯软件,目前只有一款,那就是信源豆豆。目前小编正在试用中,过段时间笔者会着重写一篇试用体验,给广大注重信息安全的朋友们参考。