2018/03/07,
科技

維權人士對話記錄外洩,就代表WhatsApp不可信嗎?

維權人士對話記錄外洩,就代表WhatsApp不可信嗎?
Photo Credit: Dado Ruvic / REUTERS / 達志影像

我們想讓你知道的是

中國維權人士的WhatsApp群組對話被用作起訴證據,這代表WhatsApp不可信嗎?

廣州維權人士張廣紅去年10月在中國被帶走刑事拘留,其後以侮辱罪被捕。張的代理律師表示,起訴所用的證據包括張廣紅在WhatsApp群組分享的文章以及訊息。

去年12月時,《蘋果日報》及《有線新聞》已有報導此事,並引述該名律師的猜測,指中國警方取得WhatsApp程式碼,能夠從手機中取出證據。同時又引述「知情人士」及「網民」表示,WhatsApp不可能交出程式碼,懷疑是群組內部有人洩露內容。[1,2]

另外,本月2日《紐約時報》記者孟寶勒(Paul Mozur)一篇題為〈衝出「防火長城」,中國互聯網審查走向世界〉的文章亦有提及此事。文中引述不具名的中國技術專家指,警方可能曾入侵張廣紅的手機,或者從群組成員手上取得相關訊息,與WhatsApp無關。[3,4]

《852郵報》引用上述文章報導事件,雖然內文提到「WhatsApp並沒參與其中」,卻在第一段指「港人常用的社交平台WhatsApp都不再受到保障」,標題亦用上「WhatsApp轉發批習文章都出事」,Facebook貼文時更問「WhatsApp都信不過了?」。[5,6]

以下我嘗試解釋為何WhatsApp不太可能交出訊息給中國,以及如果希望更安全的話可以怎麼辦。

第三方無法讀取訊息

自2014年底開始,WhatsApp逐步在其網路啟用點對點加密,並於約兩年前宣布全面使用點對點(又稱端對端)加密通訊,所有對話均會自動及強制加密。[7]WhatsApp所使用的加密通訊協定,來自開放源碼的加密通訊軟體Signal。除WhatsApp外,Google的Allo以及Facebook的Messenger亦有使用Signal的協定,但需要另行啟用。

Signal的程式碼公開,以便安全專家可檢查其通訊軟體和協定是否存在漏洞,這項特點令Signal較為值得信賴。這不代表系統不會有漏洞,但至少能盡早發現。此外,Sigal的通訊協定在去年通過一個安全專家團隊審核。[8]

點對點加密的一大特點,在於只有收發雙方的裝置可以讀到訊息(所以稱為「點對點」),第三方截取通訊時只讀到加密後的訊息,由於解密用的密鑰在用戶裝置,這確保第三方——即使是WhatsApp的伺服器——無法讀取訊息內容。

WhatsApp會偷偷加後門嗎?

理論上,WhatsApp在使用Signal通訊協議時可以造手腳,讓加密通訊變得不安全,從而解密訊息。但我認為這實際上不太可能,首先,Signal設計者、資訊安全專家Moxie Marlinspike有份協助WhatsApp推行加密通訊協定,要造手腳的話須先瞞過他,或者在全面使用加密協定後再修改。

其次,暗中削弱加密通訊會嚴重損害WhatsApp聲譽,不符合Facebook利益。各國政府一直要求科技公司在加密通訊軟體中加入後門,以便執法機關在「有需要」時能夠讀取想看的訊息,Facebook營運長桑德伯格(Sheryl Sandberg)曾為WhatsApp採用加密通訊辯護。[9]

就張廣紅的案件而言,當局派人入侵當事人手機或者群組成員洩漏對話內容,比起Facebook先削弱加密通訊、欺騙用戶(此舉勢引來大量訴訟),再跟中國政府合作更有可能。當然,你還可以相信中國政府的密碼專家破解了以Signal通訊協定傳送的加密訊息,不過這跟WhatsApp無關,而且暫時看來也不太可能。

如果不用WhatsApp還有甚麼選擇?

當然,你還是可以不相信WhatsApp安全,但我想說的是,如果WhatsApp的加密通訊本身不安全的話,代表Signal的通訊協定也不安全。那麼,市面上就沒有太多方便、易用及可加密通訊的選擇,或者你可以用Telegram的加密通訊(需要自行啟用),亦須注意其自家製的MTProto通訊協定備受質疑。[10]

假如你不相信WhatsApp,但相信Signal的通訊協定,則可以改用同樣叫Signal的非營利通訊軟體。此舉還有兩個額外好處︰一,你不用怕Facebook儲存了你在甚麼時候跟誰對話——即使加密通訊令Facebook無法讀取內容,伺服器仍可記錄這些重要元數據(metadata);二,你可以傳送WhatsApp暫時沒有的限時訊息,在對方收到後一段時間自動刪除,不怕留下記錄。

最後必須提醒讀者,沒有通訊軟體——沒有任何軟體——是絕對安全的,請按照自己需求、風險去選擇。

相關文章︰

註︰

  1. 【WhatsApp洩密?】維權人士轉發批習總信息 被控侮辱罪批捕(蘋果日報)
  2. 張廣紅疑因WhatsApp洩密被捕(有線新聞)
  3. 衝出「防火長城」,中國互聯網審查走向世界(紐約時報中文網)
  4. 原文︰China Presses Its Internet Censorship Efforts Across the Globe (The New York Times)
  5. 《紐時》︰中國網絡審查範圍伸延全球 WhatsApp轉發批習文章都出事(852郵報)
  6. 《852郵報》Facebook貼文
  7. Forget Apple vs. the FBI: WhatsApp Just Switched on Encryption for a Billion People (Wired)
  8. A Formal Security Analysis of the Signal Messaging Protocol (Cohn-Gordon et al. 2017)
  9. Sheryl Sandberg: WhatsApp encryption actually helps governments combat terrorism (The Washington Post)
  10. 詳見 Information Security Stack Excchange 的討論。

核稿編輯:王陽翎