隱私通訊軟體揭秘:Telegram 沒有你想像的那麼安全

Telegram 一直以來都是加密貨幣愛好者主要的通訊軟體之一,而在香港爆發反送中條例後,亞洲用戶也有更多人注意到這款軟體,甚至連慈濟基金會也在臉書上號召師兄師姐轉移到 Telegram ,降低 Line 改版後的成本負擔。不過 Telegram 真的有那麼安全嗎 ?

Telegram 由於在 2018 年進行了兩輪總額高達 17 億鎂的私募,因此 ABM 在先前也發布了許多關於 Telegram 在代幣發行方面的最新報導。本篇則是對其訊息傳遞的安全性進行探討。

用戶數

Telegram 在 2013 年由俄羅斯企業家 Pavel Durov 和他的兄弟 Nikolai(著名電腦科學家)共同開發,主要依靠 Durov 自己的資金來營運。

Telegram 在 2018 年 3 月時達到 2 億月活躍用戶,約佔當時 WhatsApp 用戶群的 13% 。去年 3 月時 Telegram 報告指出,在 24 小時內,由於 Facebook Messenger、Instagram 和 WhatsApp 均受到臨時性中斷,因此新用戶暴增了 300 萬。

「Users on Telegram」的圖片搜尋結果
Source : statista

此外,去年由於香港反送中抗議遊行越演越烈,Telegram 在當時也成為香港下載量最大的應用程序之一。

安全性

Telegram 將自己定義為安全強度極高的通訊應用程序,但與 WhatsApp 和 iMessage 不同, Telegram 在默認情況下並沒有加密。用戶必須選擇「私密聊天」功能以確保只有訊息發送者、接收者才能讀取,而且群聊無法加密

「secret chat telegram」的圖片搜尋結果
Source : telegram

也就是說,發送者傳送訊息時為加密,而接收者收到訊息時為解密,不會在 Telegram 伺服器留下任何痕跡。但是即使有此功能,某些專家也認為 Telegram 的加密在基礎上存在缺陷。該軟體使用自己的專有協議 MTProto ,且不受外部密碼學家的審查。

此外在 2016 年時,伊朗駭客曾入侵 Telegram ,造成 1,500 萬名伊朗用戶的電話號碼曝光,是目前最大的加密通訊軟體漏洞。

面對質疑聲浪,Telegram 的發言人 Markus Ra 在其 Blog 表示:

目前並不存在破壞 MTProto 加密的已知方式,其協議規範、應用程序代碼也已開源,能讓各界研究人員全面評估其端到端加密的框架,以及對其安全性的審查。

更重要的是,據《香港自由新聞》指出,包含 Telegram 在內等上述通訊軟體,透過綁定電話號碼來註冊帳號的方式,才是容易出現隱私漏洞的地方。

其他方案

不同於 Telegram 需要手動設定私密聊天,WhatsApp、iMessage 和 Signal 均使用端對端加密。其協議也已被許多專業密碼學家認同。

此外,Signal 持續探索使元數據暴露最小化的方式,即使在訊息被攔截的情況下,也能保護發送者的身份。

WhatsApp 表示,對元數據進行加密將使其對「未經授權的網路觀察者」保持隱蔽,Telegram 則是在其服務條款中表示,可能會收集 IP 地址和設備等元數據,數據最多將保留 12 個月。

值得注意的是,雖然聊天內容經過加密,但聊天備份可能沒有加密。如蘋果的 iCloud 僅承諾對「某些敏感訊息」進行端對端加密。而蘋果強調,只有公司本身才擁有 iCloud 數據的加密密鑰。

衍伸閱讀


立即加入 Telegram 獲得最精準的區塊鏈新知、加密貨幣動態!