非中國註冊的帳號使用WeChat,仍會有洩漏資訊的風險嗎?

非中國註冊的帳號使用WeChat,仍會有洩漏資訊的風險嗎?
Photo Credit: Shutterstock/達志影像

我們想讓你知道的是

究竟非中國帳號使用WeChat會有洩漏資訊的風險嗎?用WeChat傳遞圖片時,我們需要擔心被騰訊公司監控嗎?我們邀請專家釋疑。

議題背景

因為擔憂來自中國的微信和WeChat可能威脅美國資訊安全,美國總統川普宣布行政命令,禁止所有美國企業及民眾在今(2020)年9月20日後,和騰訊科技股份有限公司(後簡稱騰訊)有業務往來。

雖然騰訊表示,給中國用戶使用的App是「微信」,給海外用戶的稱為「WeChat」,兩者不同,但根據加拿大多倫多大學蒙克全球事務學院公民實驗室(The Citizen Lab)的研究,即使是非中國註冊的帳戶使用WeChat傳遞圖片給中國帳戶的微信,圖片內容仍普遍受到監視。若圖片牽涉敏感的中國政治內容,首次傳給中國帳戶就會被封鎖。

相關新聞與討論:

究竟非中國帳號使用WeChat會有洩漏資訊的風險嗎?用WeChat傳遞圖片時,我們需要擔心被騰訊公司監控嗎?我們邀請專家釋疑。

一起來看看專家怎麼說。

徐瑞壕(國立中山大學資訊工程學系助理教授)
2020年8月24日

微信(WeChat)是中國騰訊集團所開發,且是全球最多使用人口的即時通訊軟體之一,平均每個月約有11.5億位中國及國際的用戶在使用。然而微信對於用戶的聊天記錄、文件檔案以及圖片進行監控的傳聞不曾斷過,

騰訊宣稱「中國區用戶使用的微信,和非中國區用戶的WeChat兩者不同」。因此,多倫多大學(註1)建立中國區以及非中國區的使用者帳號,做交叉訊息傳遞的實驗,並觀察非中國區的用戶傳遞含有敏感性中國政治資訊的照片時,是否會被WeChat監控,或被用來阻斷相同照片在中國區用戶之間傳遞,以此驗證傳聞是否屬實。

實驗結果顯示,WeChat確實有監控用戶於中國區及非中國區傳遞的照片。實驗中也顯示,非中國區的用戶所傳遞具敏感資訊的照片,會被記錄起來。

WeChat的後端平台利用雜湊函式,計算出每一個照片的雜湊碼(註2)做為唯一識別碼。當中國區用戶傳遞的照片雜湊值,跟那些具敏感資訊照片的雜湊值一樣時,就會被WeChat過濾。

研究顯示,WeChat透過這樣的機制,建立在審查照片時可以參考的資料庫,來阻斷具敏感議題的照片在用戶之間傳遞。此外,WeChat在非中國用戶的隱私保護聲明中,也沒有明確的禁止WeChat在未經用戶同意下使用個人資料。

對於WeChat可能侵犯個人隱私,以及自行過濾並阻斷特定訊息的行為,結論以及應對如下:

  1. 給非中國區用戶使用的WeChat軟體跟中國區用戶使用的微信軟體,基本上它們所連結的伺服器都可共享用戶的訊息,因此都存在被審查以及監控的狀況。
  2. WeChat以及同類型的即時通訊軟體,都是透過所有的用戶連上服務提供者的伺服器,·並透過伺服器轉傳使用者間的訊息,因此使用者的訊息都會暴露給服務提供者知道。所以,即使用戶已限制WeChat軟體存取手機內的資訊,所有WeChat用戶的訊息傳遞,仍會被WeChat的伺服器知道。
  3. WeChat本身結合了即時通訊、臉書以及電子支付的功能,代表著除了即時通訊的訊息可能被監控之外,用戶的線上社群訊息以及電子支付的相關訊息,也存在著被監控的風險。
  4. 如非中國區用戶本身需要利用即時通訊傳遞敏感以及機密的訊息,建議使用具端對端(End-to-End)安全傳輸機制(註3)的即時通訊軟體。
中國_手機_高樓_雨傘_低頭族
Photo credit: 中央社

黃政嘉(國立台灣科技大學資訊管理系助理教授)
2020年8月28日

WeChat截至現今,於全球有超過10億的用戶,WeChat提供多樣性的服務,包含即時通訊、臉書、電子支付等功能。通訊軟體具有保障言論自由的義務,同時,針對惡意散佈不實、仇恨、色情等言論,各服務平台都應有相關的應對機制。

透過了解The Citizen Lab的報告(註1),可以初估WeChat的關鍵字審查,比多數的通訊軟體更為嚴格。WeChat除了控管惡意言論,更可能審查敏感的字詞。舉近期最典型的事件為例,《德國之聲》(Deutsche Welle)的報導指出,在新冠病毒疫情爆發之際,中國的通訊平台與社群媒體平台不斷的擴大審查範圍,大量的封鎖涉及敏感字詞的資訊(註4)。

從技術觀點來看,即便通訊軟體有加密任何對象間的談話內容,由於加密的金鑰(註5)大部分是由通訊軟體所發行,傳遞內容其實對通訊軟體而言不是秘密,也因此任何通訊軟體可以依其所需,訂定相關敏感內容的篩選標準並審查傳遞的內容。

各種通訊軟體廠商為了讓自己更有競爭力,並確保市場上的佔有率,除了結合各種服務程式以外,也在存取授權中要求用戶綁定即時通訊、臉書、電子支付等應用服務到自家的通訊軟體。若用戶不遵守,則廠商不提供這些應用服務或更多優惠。

普遍用戶認為同意授權後,關閉通訊軟體就不會有任何隱私外洩的風險。但從技術面來看,已經過用戶授權安裝的應用程式若沒有被完全關閉,即使用戶沒有主動操作,應用程式仍可於裝置背景執行。其實不只WeChat,很多應用程式也有此狀況。

根據《德國之聲》的一篇報導(註6),WeChat的典型案例是常常在安裝後,用戶不知情的情況下,WeChat自動訂閱了與使用者無關的服務,令有些用戶不堪其擾,且取消訂閱的操作繁瑣。報導提到,使用者表示WeChat在初始安裝時,並未提示用戶,多數用戶對於自己訂閱了何種服務並不知情。

這種狀況在各種通訊軟體中,皆有類似的案例,若是真正擔心通訊軟體可能造成隱私外洩,或是侵犯自己的隱私,我建議其實最好的方式,就是盡量避免涉及隱私或是敏感性內容的談話。

根據The Citizen Lab的關鍵字審查報告結果,可以推斷騰訊有審查與監控WeChat中被傳遞的言論;但是沒有更具體實驗的結果,可以指出究竟WeChat的訊息內容,是否會被傳遞到中國的伺服器做留存與監控。

可以確定的是,使用WeChat談話時,若涉及敏感關鍵字,有可能遭到封鎖。其實很多應用程式會審查敏感的關鍵字,只是管控的嚴格程度不同,我建議最重要的應該是先瞭解使用應用程式會面臨的的風險,避免傳遞機密或隱私的內容。

註釋

  1. J. Knockel, C. Parsons, L. Ruan, R. Xiong, J. Crandall, and R. Deinert, “WE CHAT, THEY, WATCH – How international users unwittingly build up WeChat's Chinese censorship apparatus.”Research Report, The Citizen Lab, Munk School, and University of Toronto, June, 2020.
  2. 請參考Microsoft〈使用雜湊程式碼確定資料完整性〉。
  3. 請參考APNIC文摘〈端對端加密即時訊息傳輸到底有多安全?
  4. 李澄欣(2020)。〈微信早於12月屏蔽疫情消息 "習近平"成敏感詞〉。2020/09/01檢索。
  5. 金鑰:是用來進行密碼學演算法操作的的一組秘密資訊。在加密演算法中,需要有相對應的金鑰才能解密被加密的資訊。
  6. Fabian Schmidt (2020).“TikTok, WeChat & Co: How does spyware get into smartphones?”Deutsche Welle. Retrieval Date: 2020/08/31。

本文經新興科技媒體中心授權刊登,原文刊載於此

責任編輯:朱家儀
核稿編輯:翁世航