是时候该重新想想自己的隐私了
微信和QQ无疑是在中国在线人数最多和规模最大的即时通讯服务
除了微信与QQ的即时通讯服务,还涉及到了游戏和支付服务
这无疑使得腾讯在中国变成即时通讯服务霸主,甚至垄断的地位
但是在你使用这些产品的时候,你有好好关注他们如何处理的数据,保护你的隐私吗?
隐私?
也许你懂得的隐私仅仅是线下的隐私,例如脱衣服的时候你会关门;自慰的时候会拉上窗帘,甚至会遮住电脑的摄像头…
又或许,你知道那些互联网企业在通过收集,共享和贩卖你的个人数据给你最精准的广告投放以获得最大的利益
因为互联网的庞大,万能和便利,使得无论是新一代还是老的一代都会接触它,甚至无法脱离它
现在任何的系统都几乎跟互联网搭钩,即使你做到完全不带电子产品出门,始终还是有很多办法暴露出你的位置
你可能会刷银行卡,你可能会被带有人脸辨识的监控系统拍摄到并且记录在案…
可能你会觉得自己太渺小,即使那些大公司们收集了又会怎么样?
是,现在还没发生什么事情
但是未来呢?或许一家公司发生了数据泄露,而你正好中招,这会造成什么影响?
你的真实身份,人生阅历,消息记录甚至什么开房记录都一览无遗
这些都有可能成为你的把柄,甚至被当作笑料在互联网的某处散开
可怕的是,这些信息不单单是在一处,而是在我们使用的所有服务中
他们都存储着我们不同的隐私数据
只要一处遭殃一次,你就已经相当于裸着上大街了
腾讯与隐私
前面提到,腾讯的即时通讯服务已经达到了霸主甚至垄断的地位,因此,腾讯如何保护用户在通讯时的安全十分重要
不过很遗憾,根据 国际特赦组织[1] 的报告 和 微信官方的《微信隐私保护指引》[2],微信使用的加密技术仅仅是在传输的时候进行了加密,而不是目前最好的 端到端加密 (E2EE)
传输加密 和 端到端加密
这是一个我们需要插进来的话题,仅仅在传输的时候进行加密和端到端加密有什么不同
传输加密实际上是在网络中很常见的加密应用方式,目的是为了防止在传输过程中数据被篡改和窃听
-
篡改: 即在传输过程中将数据改成其他的东西,发送和接收者不知道
-
窃听: 指数据在传输过程中有第三者通过某种攻击方式获取到数据,发送和接收者不知道
但是,即使传输的管道是安全的,那么微信的服务器呢?
微信服务器的安全性自然不用多说,但问题是,微信的服务器却可以看到我们发的所有消息
没错,所有消息,为什么它可以看到,不是加密了吗?
不,加密的只是传输的管道,但是你的消息还是以明文的方式进行发送;当消息抵达微信服务器后,微信的服务器自然可以看到你所发的消息,因为消息本身是明文的
而这就是端到端加密的不同
端到端加密采用的就是 公钥-私钥 的加密和解密方式,当一个人发送消息出去的时候,消息会通过公钥加密成所有人都看不懂的格式,包括微信服务器
当消息从服务器抵达接收方后,只有接收方的私钥才可以解密消息
所以,端到端加密可以确保窃听者,服务提供商甚至政府无法知道双方到底沟通了什么东西
例如绕过加密或者设置后门获取用户的私钥
但是仅仅使用端到端加密技术无法搞定篡改,最好的方案就是两个加密一起使用: 传输加密 + 端到端加密
这样就可以确保传输的安全和内容的安全
这意味着什么
微信并未使用端到端加密来保护用户收发消息时候的隐私,这将意味着微信实际上完全可以查看用户到底在聊什么东西
是微信不想这么做吗?或者是没能力这么做吗?我觉得并不是
放眼望去,市面上大多数的即时通讯软件,例如 FaceBook 的 Messenger 和 WhatsApp,Line 株式会社的 Line,最初只有两个人设计开发的 Telegram,Apple 的 iMessage 等等都具有端到端加密技术 (即使不是默认使用端到端技术)
腾讯并不是一个缺乏技术和人才的公司,但是致使腾讯的 QQ 和 微信到现在还没有端到端加密的原因估计还是法律与政府的关系
根据知乎问题回答 微信声称不保存聊天记录数据,你们信么 ?
提到了三条法律
《互联网信息内容管理行政执法程序规定》 第十八条 [3]
《网络产品和服务安全审查办法》 第十二条 [4]
《中华人民共和国网络安全法》 第十七条 [5]
根据这三条法律来看,服务提供商在必要时需要对网络安全审查工作给予配合
并且要上交用户发布信息、日志信息等相关材料来看,微信似乎根本就没有进行端到端加密技术的余地
因为在上交用户发布的信息前提是,微信可以明文获取到用户所发送的内容,但是如果进行了端到端技术,很显然政府和微信将具有很大的挑战来解密出用户发送的信息
这当然不是政府和微信想要的结果,因此这也可以当作微信和 QQ 到现在都没有端到端加密技术的原因之一
说是之一的主要原因是,不采用端到端加密技术可能还真的给一些企业带来了通过入侵个人隐私的可乘之机
以下内容仅为 可能,并不是代表现实情况
聊天记录是最能暴露我们各种个人隐私的地方,你想想你一天在即时通讯软件里面都聊了什么
似乎都是在瞎扯对吧?或者也不是,可能是在谈论一些正经的东西
但无论你是在瞎扯一些东西也好,还是在聊一些正经的事情也好,基本上几句话就可以暴露出一个跟你有关的信息
随便的一句
我去点个外卖,今天有点想吃披萨了,平常老是吃麦当劳真的吃腻了
最近我的股票又跌了
iPhone 11 好贵啊…
瞧,让我们看看这些消息都能说明一些什么
可能你经常吃麦当劳,但是或许你现在想换一些新口味
你有一支股票跌了
你觉得 iPhone 11 太贵了
于是这些信息都可以被分析,在你的账号上贴上标签
这不是不能做,这是完全可行的
上面的三个例子都可以用于 广告 的精准投放
例如我可以给你尝试派发一些 达美乐 或者 必胜客 的优惠券,股票跌了我可以给你投放一个 教你如何操作的课程,觉得 iPhone 11 太贵我可以给你 某电商平台的优惠广告
当服务提供商可以肆无忌惮的接触我们的消息时,这些全部都是可行的,甚至还有可能会做出一些更加出格的事情
我们该怎么办
很遗憾,在中国合法上线的服务都有这种问题,没办法,法律摆在这里,如果你要在这里合法上线那就必须遵守这种规定
但是如果条件允许,或许你和你的朋友都可以使用一些免费的开源社区或者主打安全和隐私的产品
例如:ProtonMail, Telegram, KeyBase
虽然现在关心隐私的问题,好像显得一点用都没有
确实,隐私的问题无法马上被解决,许多大公司的商业模式很大一部分利益都还是基于通过了解我们的个人隐私来进行精准广告推送来获得
但,我们还是必须要强调隐私问题,就如同严育铨[6]所说的,当所有人都意识到隐私问题的严重性的时候,通过所有人社群的力量,我们或许可以创造出无需广告的巨额营收,保护我们个人隐私的产品与模式
脚注
以下内容按照上述脚注标号排序
国际特赦组织通讯隐私排名报告,腾讯,标准2: 公司是否有默认启用端到端加密? ↩︎
《微信隐私保护指引》第 3 章: 我们将在合理的安全水平内使用各种安全保护措施以保障信息的安全。例如,我们会使用加密技术(例如,SSL)、匿名化处理等手段来保护你的个人信息。 ↩︎
第十八条:互联网信息内容管理部门进行案件调查取证时,执法人员不得少于两人,并应当出示执法证。必要时,也可以聘请专业人员进行协助。首次向案件当事人收集、调取证据的,应当告知其有申请办案人员回避的权利。向有关单位、个人收集、调取证据时,应当告知其有如实提供证据的义务。被调查对象或者有关人员应当如实回答询问并协助、配合调查,及时提供依法应当保存的互联网信息服务提供者发布的信息、用户发布的信息、日志信息等相关材料,不得阻挠、干扰案件的调查。 ↩︎
第十二条:网络产品和服务提供者应当对网络安全审查工作予以配合,并对提供材料的真实性负责。 ↩︎
第十七条: 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改: (一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任; (二)采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施; (三)采取记录、跟踪网络运行状态,监测、记录网络安全事件的技术措施,并按照规定留存网络日志; (四)采取数据分类、重要数据备份和加密等措施; (五)法律、行政法规规定的其他义务。 ↩︎