Spaceship 博客

WhatsApp 安全吗,哪些消息应用最安全?

写下“安全性每年都变得更加重要”这句话,已经明显到几乎显得有些陈词滥调。每个衡量网络犯罪的监管机构 都有统计数据证明其在逐年增加,而且当我们看到 AI 令人不安的爆发式发展时,我们大多数人可能也会本能地感受到这一点。

当我们想到可能被用来对付我们的数据时,我们会立刻想到信用卡信息、医疗记录,甚至住址——但我们很少会想到聊天记录。然而,打开你与最亲密朋友的聊天,我敢保证,其中会包含这些个人信息中的一部分,甚至全部。

一旦打开潘多拉魔盒,你很快就会开始怀疑自己是否把信任交给了正确的应用。毕竟,像 Telegram 这样的边缘应用在 2020 年代初迅速流行并非没有原因。不过我们先别说太远。先从最大的那条鱼——WhatsApp——开始仔细看看。

谁会不喜欢 WhatsApp 呢?

WhatsApp。它的规模之大令人难以置信。

这是我能想到的唯一一个试图——并且成功——取代短信,成为我们首选沟通方式的应用。随着时间推移,曾出现过一些竞争者(有人还记得 BlackBerry 的 BBM 吗?),也有人会说,即使到了今天,iMessage 仍然能与它一较高下……

但你给我看一个用 iMessage 的人,我敢保证他也装了 WhatsApp。因为 WhatsApp 不区分平台。它的通用性很可能正是它能在相对短时间内占领短信市场的原因。事实上,“我 WhatsApp 你”现在几乎和以前说“发短信给你”一样普遍。

但是,它安全吗?

这取决于你如何定义“安全”。隐私有很多层面,尤其当它涉及像聊天这样微妙的事物时更是如此。我们先拆解几个关键要素,然后再回到这个问题。

WhatsApp 的加密

WhatsApp 宣称使用 Signal Protocol 提供端到端加密。先从这一点入手是合理的,因为这可能是他们最常被提及的安全功能,然后再回到核心问题。

WhatsApp 自 2014 年起使用 Signal Protocol(并于 2016 年全面部署)。它与 Signal 的合作(稍后会详细提到)早在 2014 年就是出于提升应用安全性的需要。

WhatsApp 选择第三方协议这一事实,或许证明了他们至少在一定程度上致力于把安全做得更好。Signal Protocol 本质上意味着消息、数据,甚至视频/语音通话,从离开你手机的那一刻起就被加密,并且 只有 接收者的手机才能解密。

甚至连 WhatsApp 自己都没有解密密钥。更重要的是,他们不会存储消息(除了那些无法立即送达消息的临时存储)。简而言之,就 WhatsApp 而言,你的消息始终只是无法读取的密文数据块。

不过,尽管这听起来很棒,正如我们之前分析过的,它也伴随着几个相当重大的限制。首先,如果用户举报某条消息,它会连同前面的几条消息一起发送给 WhatsApp 的审核人员(大概是为了提供上下文)。所以,虽然他们必须被“请进来”,但 WhatsApp 仍然可以看到你可能希望保持私密的消息。

等等……我换了新手机,结果我完整的聊天记录都还在

这也许是其中最大的缺陷。如果你在 Android 或 iPhone 上使用 WhatsApp,系统会鼓励你备份消息。但这些备份可能并未加密。如果没有加密,那么在法院或政府传票要求下,WhatsApp,甚至 Apple/Google 都可能访问这些记录。

补救起来其实很简单:

  1. 进入你设备上的 WhatsApp 设置。

  2. 前往 Chats > Chat Backups

  3. 点击 End-to-end Encrypted Backup

如果可以的话,也确保你的朋友这样做——因为只要有一个未加密备份就够了。

高级聊天隐私

今年早些时候,WhatsApp 开始推出 Advanced Chat Privacy。它被描述为“适用于你最敏感的对话”,旨在“帮助防止他人将内容带出 WhatsApp”——不管这具体是什么意思。它主要面向较大的群组对话(这倒也合理),并阻止用户导出对话以及自动下载附件。

我亲自测试过这个功能后发现,它似乎仍然允许截图以及复制粘贴消息,所以我并不完全确定它到底解决了什么问题。如果你担心群聊安全,阅后即焚消息或许仍然是一个更安全(虽然略显较真)的选择,能带来更多安心感。

2021 年的元数据危机

正如我在开头提到的,2020 年代初期曾出现过从 WhatsApp 大规模转向 Telegram 等替代应用的潮流。其中最显著的一次发生在 2021 年,当时 WhatsApp 修改了其隐私政策。

这些变更允许 WhatsApp 与其母公司 Meta(也就是 Facebook)共享元数据。这一变化遭到了大量反对,部分原因在于其推出方式(只是一个简单的应用通知,大意是“同意或者离开”),当然也因为数据共享本身带来的影响。

人们认为 WhatsApp 会利用这些额外数据进一步将用户变现。它还允许商业用户将与客户的对话存储在第三方那里,这在许多人看来,多少削弱了它此前在加密问题上的强硬立场。从理论上讲,这些企业可以出售这些数据,用于广告定向和分析。

什么是元数据?

就 WhatsApp 而言,元数据本质上包括电话号码、设备信息、IP 地址、联系人以及使用模式。单独来看,这些信息似乎没那么有趣,但如果正确整合分析,它们就能勾勒出相当详细的洞察。

Jamie,男,34 岁

  • 常在英国埃克塞特活动。

  • 经常与 Penhaligons Ltd 互动。

  • 有相当一部分朋友在伦敦。

  • 通常活跃时间为早上 8 点到晚上 10 点(这显然 不会 是它真正写出来的话,但我可以做梦)。

在这个假设场景中,我们很快就能看到 WhatsApp 如何利用我元数据中的零碎信息为我建立一个小型画像。先不考虑他们还能从 Facebook 和 Instagram 收集到的数据,他们 已经 可以向我投放广告:

  • 在我最有可能活跃的时候。

  • 与香水或肥皂相关的广告。

  • 与埃克塞特本地相关的广告。

  • 向我灌输去伦敦一趟的想法,包括出行、住宿地点和可做的事情。

而这些都还只是非常表层的想法。不难想象,他们会把我交给一个复杂算法,把他们从 WhatsApp 收集到的有限数据中的每一分商业价值都榨干。这也是许多人在 2021 年意识到的事情。

关于 WhatsApp 的其他担忧

支付与交易

如果你使用 WhatsApp 处理付款,那么这些交易可能并不像聊天内容那样以相同方式进行端到端加密。

这会带来几个问题。支付本身并不是端到端加密的,而是由第三方银行处理。虽然这本身未必算是问题,但如果你的设备被间谍软件或恶意软件入侵,Meta 的加密也保护不了你。还有人担心,购买元数据可能会被 Meta 用来进一步强化我们前面提到的个人画像。

群组数据

虽然群组数据本身未必算是“问题”,但与其他平台相比,WhatsApp 在隐藏个人数据方面提供的选项更少。如果你参与大型群聊,却不希望自己的姓名、号码和照片被看到,那么这就是 WhatsApp 的一个缺点。

政府与执法腐败

虽然许多人因为元数据隐私问题而远离 WhatsApp,但对另一些人来说,这只是故事的一部分。对某些人而言,更安全的应用不是锦上添花,而是必需品,选对应用可能会带来巨大差别。

一些政府存在腐败,可能会使用不正当手段获取,甚至只是监控,超出其应有权限范围的公民数据。在拥有互联网接入的 50 亿人中,79% 生活在因发布政治、社会或宗教议题内容而有人被逮捕或监禁的国家

最近的一篇文章指出,甚至美国的 FBI 从 WhatsApp 和 iMessage 获取的信息都可能远多于从 Telegram 和 Signal 获取的信息。这是一篇有意思的文章,但也要持保留态度,因为它 严重依赖单一来源

考虑到这一点,我们来看看其他一些应用,以及为什么那些承担更大风险的人会选择它们。先剧透一下:我们接下来要提到的所有消息应用(Telegram 除外)都默认启用端到端加密。作为消息安全的基准,这并不令人意外,所以我们就默认这一点成立,重点关注其他功能。

理论上,没有哪款消息应用仅凭加密本身就比另一款更安全。大部分差异都在于元数据,以及它如何被使用。因此,真正区分安全性的主要是它们对元数据的监控方式,但更准确地说,这归根结底是一个信念问题——用户是否相信这些公司会与腐败的执法机构合作,交出本不必交出的数据。

Telegram

当我们想到替代应用时,Telegram 很可能排在首位。然而,这是一个关于认知与现实之间差距的有趣案例。因为如果你前面看得够仔细,就会注意到 Telegram 实际上是我们接下来要看的应用中唯一一个默认不采用端到端加密的,而是依赖客户端—服务器加密方式。这意味着 Telegram 实际上可以解密这些消息,这一点与其他平台不同。

只有 Telegram 的 Secret Chats 才提供完整加密。那么,为什么它会获得“更安全”的声誉(即使现实可能并不完全如此)呢?

很大一部分原因在于营销。Telegram 的创始人经常强调它不是以盈利为目的,但这并不等同于非营利,这个区别至关重要。

不过,在隐私方面,它确实提供了比 WhatsApp 更细致的控制。例如,你可以隐藏电话号码,并选择谁能看到个人资料数据——比如你的头像。它还提供匿名管理员模式,让你在发帖时不暴露身份。所以,确实有办法让 Telegram 更安全,但它并不像这个几乎成了“安全”代名词的名字所暗示的那样自动实现。

另外,和 WhatsApp 一样,它也绑定电话号码。这意味着从更深层次来看,你的通信仍然可以追溯到你本人。如果你真的需要隐匿身份,这就不是好事。随着我们继续往下看,这种情况会越来越少见。

也许,在安全这层外衣之下,Telegram 更成功的原因在于它所培育的社群,以及人们可以与志同道合者自由交流的理念。但它仍然配得上作为 WhatsApp 替代方案的一席之地。

Signal

我们前面已经提到过 Signal,因为保护 WhatsApp 的端到端加密协议正是它提供的。它曾得到 Edward Snowdon 的认可,这足以说明它的安全水平。和 WhatsApp 一样,这种加密使得在服务器层面访问消息变得不可能。

使用 Signal 时,你需要手机号注册,但之后可以选择用户名,这会让追踪变得更困难。Signal 在安全方面的理念非常坚定,虽然并非完全不可能将消息追溯到你,但它的设计就是为了让这件事变得困难。

它保留的数据也以极少而闻名。他们知道你的号码、你注册账户的日期、你上次连接的时间,以及你当前是否在线。除此之外,他们不保留其他元数据,甚至还通过 Sealed Sender 加密你正在联系谁的细节。服务器知道该把消息送到哪里,但不知道是谁发的。

一个小缺点是,由于其后台运作方式,Signal 更容易被某些国家和司法辖区封锁。例如,它曾在 包括伊朗和埃及在内的一些国家遭到封锁

这是因为Signal 依赖集中式服务器进行消息投递和注册,这意味着政府可以识别并封锁这些特定的 IP 地址。其次,Signal 在设置过程中需要短信或语音验证,这给了电信运营商拦截或彻底阻止注册流程的机会。

但在大多数地区,Signal 仍然是一个强有力的选择,而且与 Telegram 不同,Signal 是非营利组织,这在其财务动机方面提供了一些安心感。

Session

Session 就像强化版的 Signal。它不保留任何元数据,而且与目前提到的应用不同,它注册时也不需要电话号码或电子邮箱地址。

相反,它会通过巧妙结合 cookies 和后台识别方法,为你的设备分配一个 ID,这意味着你可以真正保持匿名(条款和条件适用)。同样地,它也去掉了其他应用用来实际传输和处理消息数据的服务器,转而采用一种去中心化结构,使用节点,方式与 TOR 浏览器类似。

这意味着没有中央计算机处理数据,因此更难追溯来源。

那为什么我们不都直接用 Session 呢?原因是它也有一些缺点。缺少中央服务器(并依赖节点)会带来速度问题,无论是通话还是文本消息都是如此。

这种唯一标识符也可能带来风险。匿名性是一把双刃剑,而 Session 让冒充他人或掩盖其他恶意活动变得更容易。不仅如此,在大多数日常场景中,它们也稍显笨重。你必须手动分享你的 66 位字母数字 Session ID,这可能导致出错。

不管你喜欢还是讨厌,电话号码及其相关风险也伴随着好处——比如更容易找到朋友(通过它与其他账户的关联),或者只是简单地把号码给对方。

总的来说,如果你因为迫在眉睫的威胁而真正需要匿名性,Session 非常出色,但对于日常使用来说相当不实用。这就是真正匿名的代价。

Thunderbolt

Thunderbolt 是一款以安全为重点的通信应用,它以与 Session 和 Signal 相似但并不完全相同的方式,将隐私放在首位。

在某种程度上,它和 Session 类似,试图去除你的个人信息,但方式又没那么不切实际。它不是简单地用一个无限长的代码替代电话号码或电子邮箱,而是使用域名作为你的标识符。这与电子邮箱地址明显不同,无论在外观上还是功能上都是如此。外观上,它就是你输入到地址栏里的那部分,不带名称和 @ 符号。功能上,它能在保持实用和便于分享的同时,提供更好的安全性。

从这个角度看,Thunderbolt 也是去中心化的。虽然它不像 Session 那样使用完全独立的“节点”(而是选择更可靠的集中式服务器),但它依赖于通过域名所有权实现的去中心化身份。通过利用 DNS,Thunderbolt 也更难被各国封禁。

基于 DNS 的身份意味着用户通过域名所有权来验证自己,而这是去中心化的,因此比集中式电话号码系统更难监管。封锁 DNS 基础设施还会带来附带损害风险——政府需要干预域名解析本身,这可能会扰乱无关服务和网站。实在不值得冒这个险。

如果你选择 Handshake 或 ENS 域名,Thunderbolt 还能实现更高程度的匿名性。这会使用一种去中心化、类似区块链的网络,把匿名性置于域名注册流程的核心。与 Session 不同的是,你可以不公开列名,同时仍然轻松分享你的域名(标识符)。

这种方法还有一个其他应用无法比拟的额外好处,那就是 DNS 也让别人更难冒充你。电话号码和电子邮箱地址都出了名地容易被伪造。由于域名账户通常会受到双重身份验证 (2FA) 和强密码的保护,因此它天生更安全,也更难被黑客入侵或伪造。

Thunderbolt 将这一独特的 ID 系统与安全和隐私方面的核心价值结合起来。因此,它可以被视为一种“两全其美”的方案,在提供最佳匿名性的同时,也保持了易用性和快速传递。

虽然 Thunderbolt 保留的元数据水平与 Signal 相近,但它明确表示,这些数据绝不会被变现或用于其他用途。

以表格形式呈现

上面的内容信息量很大,所以我们把要点浓缩成了一张实用表格。

应用

优势

弱点 / 注意事项

Telegram(Secret Chats)

• 可选的端到端加密• 具备消息自毁、细粒度个人资料权限设置等功能。

• 普通聊天默认不启用端到端加密• 认知印象可能掩盖其弱点• 保留部分元数据

Signal

• 默认启用端到端加密• 元数据保留极少• 非营利,且理念清晰

• 注册需要电话号码• 因其运作方式,曾在伊朗和埃及等国家遭遇临时封锁• 保留部分元数据

Session

• 无需电话号码或电子邮箱• 去中心化服务器• 以匿名为设计核心

• 消息传递较慢;功能有限• ID 分享相对复杂

Thunderbolt

• 默认启用端到端加密• 由强健 DNS 保护的域名标识符• 清晰的隐私政策和理念。

• 新应用,用户群有限• 保留部分元数据

哪个应用最安全?

归根结底,大多数应用都宣称具备一定程度的隐私保护,而其余部分则取决于你对这家公司的个人信任程度。也就是你是否相信他们可能会与腐败的执法机构或政府合作。

我们这些自豪地拿着 Netflix“真实犯罪学位”的人都知道,即使是世界上最强的加密,如果有人入侵了你的设备,或者只是把它从你手中拿走,也保护不了你。在这些情况下,受到审查的往往远不止消息本身。因此,通信应用及其安全优势始终是相对于你所处的更广泛世界而言的,只是整个方程式中的一部分。

对我们大多数人来说,更大的问题是数据被变现,而不是被武器化。简单切换到像 Signal 或 Thunderbolt 这样的应用,就能在不承受更封闭消息应用缺点的情况下提升你的安全性。

常见问题

这取决于你所说的“安全”是什么意思。它采用端到端加密,这意味着作为公司的 WhatsApp 无法解密(因此也无法查看)这些消息。不过,WhatsApp 确实会保留大量关于你活动的元数据,这些数据可以被变现并用于向你投放广告。

可以。这很容易做到,而且能修补一个原本可能危及你安全的漏洞。进入你设备上的 WhatsApp 设置。 前往 Chats > Chat Backups 点击 End-to-end Encrypted Backup

与许多人对 Telegram 的看法相反,它并不是最安全的应用。事实上,甚至连聊天默认都不是端到端加密的,这意味着公司理论上可能读取这些内容。不过,他们确实强调自己在隐私和安全方面的立场,并且作为 WhatsApp 的替代方案相当可靠,功能相近,同时对个人资料数据提供更细致的控制。

Signal 采用端到端加密,并允许你选择用户名,而不是使用电话号码或电子邮箱地址(尽管注册时仍需要电话号码)。它被视为更安全的选项之一,同时不会增加使用复杂度。不过,Signal 在某些国家已被封禁。

Session 被视为目前最安全的消息应用之一。它几乎可以实现完全匿名,注册时也不需要电话号码或电子邮箱地址。相反,它使用的是你的设备本身。这可能会导致寻找朋友时出现一些困难。它还是去中心化的,这意味着你的消息不是通过服务器传输的(而是使用节点),但这确实会带来一些速度问题。由于这些因素,除非你确实因为充分理由需要极高隐私,否则 Session 可能会显得有些笨重。

Thunderbolt 使用端到端加密,并且从一开始就是作为一种注重安全的消息解决方案而创建的。它还有一个额外优势:使用域名而不是电话号码和电子邮箱地址,因此受益于 DNS 系统固有的额外安全性。它速度快,并使用易记的标识符(域名),因此很容易分享。这使它成为那些希望注重安全、又不想承受 Session 这类应用缺点的人们的理想解决方案。


推荐文章

分享您的想法

需要超过10个字符。
公开显示的身份。
提供您的电子邮件地址是可选的。我们不会与第三方共享。

帮助我们改进我们的博客

在快速两分钟的调查中分享您的想法。

需要提供有效的电子邮箱