標榜高隱私加密的通訊軟體 Telegram 每月有 5 億活躍用戶,在近日遭俄羅斯入侵的烏克蘭成為最受歡迎應用程式,烏克蘭軍方及政府官員更大量使用 Telegram 及其他社群宣傳俄羅斯的即時攻擊情況。
但 2 月 24 日 Telegram 競爭對手、同樣主打加密安全性的美國通訊軟體 Signal 創辦人 Moxie Marlinspike 在 Twitter 提醒烏克蘭民眾應注意 Telegram 潛在隱私性限制。
Telegram 在烏克蘭是最受歡迎的通訊工具,經十年誤導性媒體行銷,大多數民眾都認為是「加密應用程式」,但事實正好相反──Telegram 預設訊息會存在官方伺服器的雲端資料庫,有每人 10 年內發送接收的每條訊息、照片、影像、文件明文副本。
任何有權存取資料庫的人都可看見用戶聯絡人和小組成員資格等。許多 Telegram 員工在俄羅斯有家人,如果俄羅斯不想出動駭客,也能以員工家人安全交換取得資料庫。
Telegram is the most popular messenger in urban Ukraine. After a decade of misleading marketing and press, most ppl there believe it’s an “encrypted app”
The reality is the opposite-TG is by default a cloud database w/ a plaintext copy of every msg everyone has ever sent/recvd. https://t.co/6eRGIyXyje
— Moxie Marlinspike (@moxie) February 25, 2022
Marlinspike 去年底就曾警告,Telegram 宣傳提供「點對點加密」(end-to-end encryption)功能,但前提是用戶必須特別使用「私密對話」(Secret Chat),才會開啟功能,導致隱私安全大打折扣。
馬斯克贊同:Signal 最安全
去年推廣 Signal 的特斯拉創辦人馬斯克(Elon Musk)這次卻態度丕變,先質疑 Marlinspike:「你確定 Signal 也安全嗎?」
Marlinspike 回應:「Signal 設計不同。所有通訊都是 e2ee(點對點加密),因此沒有雲端資料庫含每人明文訊息歷史,預設的群組就是加密的。」
隨即馬斯克也表達贊同,卻沒有確切理由。
Signal 是最安全的訊息服務。
Signal is the least insecure messaging service
— Elon Musk (@elonmusk) February 25, 2022
被指控的當事者也出面反駁,《富比士》報導引用 Telegram 發言人聲明:
這種 FUD(恐懼、疑惑和懷疑)並不令人驚訝,因來自次要競爭對手(也是典型競爭對手)攻擊。也就是說,我們確認俄羅斯既沒有開發人員也沒有伺服器,我們沒看到任何上述風險。
(本文由 動區動趨 授權轉載;首圖來源:Flickr/TechCrunch CC BY 2.0)