Luterngun

a practial dissident

或许,Telegram 是最不坏的选择

Telegram 使用过程当中最不利于匿名的一点,在于其要求登录时使用验证码(而非仅凭密码即可登录),这就要求至少有一台设备长期保持登录状态,或使用手机号进行短信验证。如采取至少有一台设备长期保持登录状态的方法,那么势必会被记录硬件信息(例如,不能在虚拟机当中仅使用浏览器登录网页版),而硬件信息被 Telegram 官方记录,是否也会存在一定的隐私泄露的疑虑呢?至于如果长期使用手机号来进行短信验证,则更容易被追踪。

本文受 @Hymnsin 君对拙作评论的启发而作。


用隐私换取便利?

Telegram 的匿名性牵涉到 Telegram 的设计开发理念,因此在这里简单地回顾一下 Telegram 的发展史。Telegram 的 CEO Pavel Durov 也是俄罗斯社交网站 VKontakte(简称 VK )的创始人,后者一度在俄罗斯和东欧市场挫败了 Facebook。随着俄罗斯政府通过资本运作和政治压迫手段来控制这家影响力日甚的社交网站,Pavel Durov 于 2014 年被迫出局。此后 Durov 兄弟远走德国,打造了现在的 Telegram——一款注重隐私的加密即时通信应用。

虽然开发团队不依靠 Telegram 盈利,也从未支出过广告营销费用,但他们仍怀有扩大市场占有率、将竞争对手 WhatsApp 挑落马下的雄心,近期 Pavel Durov 更是表达了要在全球通信应用市场与昔日冤家 Facebook 一决高下的愿望。为了实现提高产品市场占有率的愿景,开发者既要保障隐私与安全,也要提供效率与便利。比如 Secret Chat 模式下服务器不留存数据,使通信无法在传输过程和云端被截取,是为了保护隐私;默认的 Cloud Chat 模式下消息会存储到云端并且实时同步到多设备,是为了提供便利。隐私-安全、效率-便利这对矛盾并存于 Telegram 这一产品之上,而开发者并将选择权交给了用户——选择默认的普通模式还是选择加密模式、选择披露手机号码还是选择隐藏……

然而令人遗憾的是,在注册方式上 Telegram 至今没有提供除手机号码以外的第二种选项,不支持使用电子邮箱注册或者直接创建账号。而在 Telegram 最基本的登录验证方式上,便利压倒了安全——你什么也不用记,只需输入通过 SMS 短信发送的验证码就能登录,如果你的账号已经在另一台设备登录,验证码会通过 Telegram 直接发送到已登录设备上。便利的代价就是不安全,政府部门可以通过 SS7 攻击劫持短信验证码的方式侵入你的 Telegram 账号(参见 Solidot | SS7攻击绕过WhatsApp和Telegram加密),规避的手段则是打开两步验证(two-step verification)。

尽管 Telegram 的开发者重视隐私与安全的价值,但他们主要着眼于信息传输过程中的安全性——开发自有的 MTProto 网络传输协议(尽管这也为安全专家所诟病),以及保证信息在云端的安全性——建立私有云服务、保证不披露用户的数据。他们可能忽视了 Telegram 用户的人身安全——匿名性似乎从来都不在他们的考虑之中。

如果你是一位政治敏感人士,Telegram 只能保证通信在传输过程中和在云端的相对安全性;如果你使用了端对端加密模式和阅后即焚,即使警察强迫你解锁设备也无法从 Telegram 加密聊天中调取任何对你不利的证据,然而在现有的设置下你很难阻止警察和黑客从你的 Telegram 账号回溯到你的真实身份,因而难以阻止他们监视和记录你在不受端对端加密保护的群聊和频道中的发言。对于政府执法部门或黑客而言,想要攻破开启了两步验证的 Telegram 账号会很困难,而追踪 Telegram 使用者的真实身份则会容易许多,这确实很不理想。

*由忽视匿名性引发的安全隐患还体现在 Telegram 对通讯录的使用上。如果开启了读取手机通讯录的权限,一旦有联系人加入 Telegram,你就能收到通知提醒。作为实现将自己打造成流行 IM 愿景的一部分,Telegram 似乎是想借助用户的人际关系网络来推广自己的产品,然而这无疑会成为匿名的噩梦——警察完全可以将其用作追踪社会活动人士。


有限的补救措施

手机号码的可实名化将会间接导致 Telegram 账号的实名化,因此在补救 Telegram 在匿名性设计上的不足时就要从手机号码的非实名化入手,如使用不记名的预付费 SIM 卡号码或者虚拟号码。使用境外的不记名号码和虚拟号码也只是居于便利与匿名之间的折中方案,第三方仍可通过消费记录等途径追查到持有者,但这已然大大提高了你的主要风险来源对你进行追踪定位的门槛和成本,反过来意味着提升了自己的匿名性强度。

就如使用 Tor 浏览器并不代表你可以高枕无忧一样,低能的网警只能欺凌弱者,请那些使用 QQ 邮箱注册推特、绑定中国大陆 +86 手机号码的用户喝茶,而受到有关部门注意的意见领袖则会面对更为专业的力量,在同样使用 Tor 的情况下相比普通用户有着更高的暴露风险。Telegram 只限手机号码注册的政策给使用者的匿名性强度设置了天花板,用户对此所能做的甚为有限。至于匿名性强度是否够用则因个人的风险状况而异,并不存在绝对的标准。


Telegram 仍是首选项

*iYouPort 在 《香港:年轻的抗议者擅长抵御数字监控(附安全须知)》 中提到运动的组织者要比一般参与者承受更大的风险。以眼下的反送中运动为例,港警只能抓捕匿名措施不到位的 Telegram 群主,不可能逮捕所有反送中群组中数以万计的成员,否则出动全香港的警察也不够用。因此,对一般参与者而言,在做好一定保护措施的前提下使用 Telegram 是相对安全的。对于组织者而言,Telegram 并不安全,无需提供手机号码的 Wire、Threema[注1]、riot.im 等应用或许才是更好的选择。然而 Telegram 拥有高达 200,000 人数上限的超级群聊和不设人数上限的频道,在信息传播上有着 WhatsApp、Line 和微信等同类产品所无可比拟的独特优势。如果 Telegram 上的反送中频道主和群主都改用 qTox,相信资讯传播和社会动员的效果将会大打折扣。

优良政体不是独裁者凭空赐予的礼物,自由与民主必须由公民用自己的血与汗去争取。信息技术可以为公民提供新的抗争工具,但政治目标绝非仅靠信息技术就能实现。社会运动可以去中心化,但不能没有组织者,正如 Telegram 群聊、频道不能没有创建者和管理员。组织者固然需要善用信息技术与极权/威权政府的监控追踪相对抗,不作无谓的牺牲,而一旦他们决意不计代价地为实现目标而抗争时,作为首选项的必然是最有利于达成目标的手段,而不会是最能保全自己的手段——个人利益是他们为了将至未至的正义所甘愿付出的代价。换言之,组织者首先思考的是如何高效地传递一线信息、如何有效地进行社会动员,而非如何匿名。公民的言论自由和免于恐惧的自由最终要由分权制衡、司法独立的宪政体制来保障[注2],信息技术并不能代行其职。即便在半民主的香港,律政司不得不在汹涌的民意前作出退让,放弃政治检控而作出不起诉决定[注3]——空前凝聚的公民社群可以为走在最前沿的抗争者提供强而有力的保护。

Telegram 是目前流行的 WhatsApp、Facebook Messenger、Line 和 WeChat 最具竞争力的挑战者。除了在信息传播上的优势外,它有着与竞品相似的用户界面和使用方法,门槛低,易上手,同时提供了包括编辑、删除、消息转发、高达 1.5 GB 的单个文件上传限制、机器人、贴纸、GIF、即时查看、匿名投票在内的丰富功能与出色的用户体验。

与 Signal、Wire 和其他更小众的应用相比,Telegram 已经逐渐积累起了初具规模的用户群体,这使得其在拓展市场时占据优势,也让用户更有意愿停留在 Telegram 平台。Pavel Durov 之前撰文称其无意将 Telegram 打造成调查记者、人权律师、NGO 工作者专用的加密通信工具,而是希望其成为大众流行的即时通信应用,从而运用其庞大的用户基数来隐藏、保护其中的政治敏感人群。以中国大陆地区为例,虽然当局早在 2015 年就封锁了 Telegram,Telegram 还是积累起了相当规模的简体中文用户,他们可能是程序员、极客或者“币圈难民”,总之你不能仅仅因为他/她用了 Telegram 就推断其是“危害国家安全”的“反动分子”。

相比于 Facebook、Google、Twitter 等监控资本主义商业模式[注4]支配下的科技企业,近似公益项目的 Telegram 更值得信赖,后者不靠出售用户信息盈利,并且承诺永久免费、无广告,完全使用自有资金来维持研发和服务器运营开支。作为与安全丑闻频出、跟威权政府暧昧不清的 WhatsApp,用户通信后台裸奔的微信的鲜明对比,Telegram 没有曝出过存在后门、用户信息泄漏等安全方面的负面消息,迄今为止保持着向第三方披露 0 字节用户数据的记录,并因拒绝配合威权政府的网络审查政策而先后被伊朗、俄罗斯等国屏蔽。此外 Telegram 尊重用户的言论自由,除了删除 ISIS 的频道及在苹果设备上屏蔽传播色情内容的群组、频道外,Telegram 不会对用户公开发送的内容进行审查和删除。


小结

如果你关注数字权利,珍视隐私与自由的价值,你可以考虑用 Telegram 来替换手头的 WhatsApp、Line 或WeChat;如果你追求更高强度的匿名性,就应选择诸如 Wire 这样无需手机号码注册的通信应用。

生活在数字时代的我们时时要经受是否愿意用安全换取便利的拷问。在效率-便利与隐私-安全这对矛盾之间如何取舍,在行动收益和代价之间如何权衡,是选择 Telegram、Wire 亦或其他,这一系列问题最终需要个人在评估自身需要与风险状况后作出决断。


[注1]:Wire 目前仅支持在桌面设备(Windows、macOS 客户端及网页版)上使用 email 注册账号,注册完成后支持在移动设备上使用 email 登录。Threema 会为每位用户随机生成 ID,无需提供手机号码和 email 注册。
[注2]:尽管西方民主国家存在着棱镜这样的大规模监控项目,政府的行政权在宪政框架下仍要受立法权和司法权的限制,并终究要对选民负责,相比威权/极权政体拥有更强的纠错能力。
[注3]:目前仍有多位示威者可能被控罪,前景尚不明朗。
[注4]:指以免费服务吸引用户,收集、分析用户个人信息并出售给广告商谋利的商业模式。

关联阅读:

iYouPort | 香港:年轻的抗议者擅长抵御数字监控(附安全须知)

iYouPort | 安全手册:这里是你需要的几乎所有安全上网工具

Why WhatsApp Will Never Be Secure

《数字极权时代生存手记》


附:未经原作者 Pavel Durov 授权的 Why WhatsApp Will Never Be Secure 中文译本

为什么 WhatsApp 永远不安全
世人似乎对 WhatsApp 能把任何手机变成间谍工具的新闻感到震惊。仅仅因为你在手机上安装了 WhatsApp,攻击者就可以获取你手机中存储的任何内容,包括你的照片、邮件和短信。
然而这则新闻并未使我感到惊讶。就在去年,WhatsApp 不得不承认他们存在类似的问题——只要你用 WhatsApp 拨出一个视频电话,黑客就能获取你手机里的全部数据。
每当 WhatsApp 修补了一个他们应用程序中存在的关键漏洞,在那个位置上就会产生新的问题。他们的所有安全问题都适合用作监控,从其样态和运行模式上来看都像是后门。
与 Telegram 不同,WhatsApp 不开源,因此安全研究人员不可能轻松地检查他们的源代码中是否存在后门。WhatsApp 不但没有公开他们的代码,而恰恰走向反面——他们故意模糊了应用程序的二进制数来确保没有人能够彻底地分析这些代码。
WhatsApp 和它的母公司 Facebook 甚至可能通过秘密程序被要求安装后门,例如 FBI 的禁止披露要求 (gag orders)。在美国运营一项安全的通讯服务是件不容易的事情。Telegram 团队 2016 年在美国停留的一周时间内遭遇了 3 次来自 FBI 的渗透企图。试想一下在那样的环境下,十年间会培育出怎样一个美国的通讯软件公司。
我理解安全机构用打击恐怖主义来为植入后门的行径辩护。问题在于这些后门同样可以被犯罪分子和威权主义政府利用。毋庸置疑,独裁者们都喜爱 WhatsApp。WhatsApp 的安全缺陷被独裁者们用于监视本国人民,所以它仍得以在俄罗斯和伊朗这样的国家畅行无阻,而 Telegram 则在这些国家被封杀了。
事实上,我对 Telegram 的开发始自对来自俄罗斯当局压力的直接回应。2012 年的时候 WhatsApp 还在用明文传输通信信息,这是丧心病狂的。不仅是政府和黑客,就连移动网络服务提供商和无线网络管理员都能获取 WhatsApp 的全部通信内容。
后来 WhatsApp 加入了一些加密手段,其很快被证明只是市场营销手段:用于解密的密钥被提交给至少数个政府,其中包括俄罗斯政府。其后,随着 Telegram 开始赢得人气,WhatsApp 的创始人把他们的公司
卖给了 Facebook 并声称“隐私保护写进了他们的 DNA”。果真是这样的话,它一定是一个休眠基因或者隐性基因。
3 年前 WhatsApp 宣布他们使用了端对端加密技术,因此“任何第三方都无法获取数据”。与之同步的是 WhatsApp 强硬要求所有用户将他们的聊天记录备份到云端。当他们这样做的时候,WhatsApp 没有告诉用户当聊天被备份后,信息不再受到端对端加密的保护,并能被黑客和执法部门获取。这可真是高明的市场策略,其结果就是一些天真的人因此进了监狱。
那些有着足够的抵抗力不备份聊天记录、不为 WhatsApp 持之以恒的劝说所动的人仍可以通过技巧被追踪——从进入他们联系人的备份,到改变不可见的加密密钥。WhatsApp 用户产生的元数据——描述聊天对象和时间的日志——被 WhatsApp 的母公司 Facebook 大量泄漏给各式各样的机构。首要的是,你会面临层出不穷的关键性安全缺陷的混合体。
WhatsApp 有着一以贯之的传统——从最开始的零加密到接连爆出一系列奇怪的适合用作监控目的的安全问题。如今看来,WhatsApp 的服务在过去十年间没有一天是安全的。这就是我认为更新 WhatsApp 的移动应用程序并不能使它变得安全的原因。如果 WhatsApp 想要变成一项注重隐私的服务,他们将面临失去全部市场与跟他们母国的政府机构起冲突的风险。他们看起来并没有准备好去承受这样的风险。
去年,WhatsApp 的创始人们出于对用户隐私的忧虑而从公司离职。他们肯定会受到禁止披露要求 (gag orders) 或者 NDAs 的限制,所以无法在不冒着失去财富和自由风险的前提下公开地讨论 WhatsApp 的后门。然而,他们可以承认,“他们出卖了他们用户的隐私”。
我可以理解为什么 WhatsApp 的创始人不情愿提供更多的细节——将自己的舒适置于风险之下是件不容易的事。几年前在拒绝服从俄罗斯政府准许的侵犯 VK 用户隐私的信息披露后,我不得不离开我的国家。这很不愉快。但我还会再做一次同样的事吗?乐意奉陪。每个人终有一死,但我们人类作为一个物种会停留一段时间。因此,我认为积累财富、名望和权力是毫无意义的。从长远来看,服务全人类才是唯一有意义的事业。
然而,事与愿违的是,在 WhatsApp 被用作间谍软件的整个事件中,我感觉我们让人类失望了。许多人无法停止使用 WhatsApp,因为他们的朋友和家人还在用它。这意味着我们在说服人们迁移到 Telegram 平台这点上做得很糟。尽管我们在过去五年间吸引了数亿用户,这还远远不够。因特网的主要用户群体仍然被 Facebook/WhatsApp/Instagram 帝国绑架。许多 Telegram 用户的手机里仍然装着 WhatsApp,这意味着他们的手机一样脆弱。甚至是那些已经彻底删除了 WhatsApp 的人可能还在使用 Facebook 或者 Instagram,后两者都认为用明文存储用户的密码没有什么问题。 (我至今无法相信一家科技公司竟能做出这样的事并且还能从中安然脱身)
在 Telegram 问世至今的近 6 年时间里,Telegram 从未泄露过主要数据或者像 WhatsApp 这样每隔数月就出现安全缺陷。在这 6 年里,我们向第三方披露了 0 字节的信息,与此同时 Facebook/WhatsApp 向任何声称为政府工作的人分享了足够多的用户信息。
在 Telegram 用户社区之外,很少有人知道最早出现在 Telegram 上的新特性被 WhatsApp 事无巨细地抄袭。前不久我们观察到 Facebook 正企图抄袭 Telegram 的全部哲学——扎克伯克突然强调隐私与速度的重要性,他的 F8 演讲几乎就是在逐字地背诵 Telegram 的介绍文案。
不过对 Facebook 的伪善与缺乏创造力哭天抢地是于事无补的。我们不得不承认 Facebook 正在实施一项富有成效的策略。看看他们对 Snapchat 做了什么。
作为 Telegram 开发者的我们在此承诺我们塑造未来的责任。我们与 Facebook 的垄断之间,尊重自由和隐私的价值与贪婪、伪善的价值之间,不是你死就是我活。我们的团队已经与 Facebook 竞争了 13 年。我们一度在东欧的社交网络市场上打败了他们。我们还会在全球即时通讯市场上再次战胜 Facebook。我们义无反顾。
这并非易事。Facebook 的市场营销部门体量巨大。然而,Telegram 从来不做任何市场营销。我们不想向记者和研究者们支付酬金来要他们向全世界介绍 Telegram。因此,我们依靠你们——我们数以百万计的用户们。如果你足够喜欢 Telegram,你会把它介绍给自己的朋友。如果每个 Telegram 用户都能说服 3 个他们的朋友删除 WhatsApp 并永久性地迁移到 Telegram,Telegram 就已经能比 WhatsApp 拥有更多的人气了。
那个贪婪与伪善横行的时代将会终结。一个尊重自由和隐私的时代即将开始。它正来得比人们所想的更快一些。

写給反送中人士的 Telegram 隱私設置建議

数字极权的铁幕下,我们已退无可退

科技145Telegram12数字极权22网络审查21
48
48

看不過癮?

馬上加入全球最高質量華語創作社區,更多精彩文章與討論等著你。