港聞

通訊軟件安全評測 QQ墊底 FB、Whatsapp低分 哪些最安全? (20:22)

手機、電腦的通訊軟體幾乎已全面取代了傳統的SMS,成為香港人最主要的文字通訊方式,但常用的Facebook Messenger、Whatsapp是否安全?

美國電子前線基金會(Electronic Frontier Foundation,EFF)最近測試了市場上的39款通訊程式,發現當中只有6款通過所有的安全測試,內地流行的QQ被評為最差,通訊毫無加密,香港人最常用的Facebook和Whatsapp則「緊隨其後」。不過,EEF並未測試港人常用的Line和Wechat。

電子前線基金會的檢驗標準有7項,分別是:1)傳輸中是否加密;2)服務供應商能否讀取;3)能否辨識對方身分;4)當程式加密金鑰被竊時,過往通訊紀錄是否安全;5)程式碼是否可供獨立審核;6)是否能提供加密設計的詳細說明;7)以及是否曾經過獨立的安全審核。

其中,Google Hangouts/Chat、Facebook Chat及WhatsApp都只通過第1項與第7項檢驗,Apple的iMessage表現明顯較強,通過了第1、2、4、6、7項檢驗。因佔中運動,開始在香港社運界流行的Telegram也評分不俗。Skype則只通過前兩項的檢驗,Yahoo!Messenger僅通過第一項檢驗,表現最差是Mxit及中國流行的QQ,得零分。

表現最佳的通訊程式,分別是ChatSecure+Orbot、CryptoCat、Signal/RedPhone、Silent Phone、Silent Text與TextSecure。不過,它們為了加強安全,也帶來先天缺點,使用起來稍微麻煩。

這個測試在一定程度上反映了通訊程式的安全水平,有重要的參考價值,但仍未夠深入。因為通訊安全其中一項關鍵是加密技術的優劣。比如,Whatsapp雖然看似和黑莓的BBM同樣具備加密技術,但前者的加密技術去年便曾被網絡安全專家嘲笑為兒戲;而著名的密碼學家布魯斯·施奈爾則曾盛讚BBM的加密技術安全,美國總統奧巴馬也是使用特製的黑莓手機。

近年,安全專家均提倡通訊軟件應該提供「端對端」(end to end)加密。EFF人員說,數家科技公司正私下改善通訊軟體的加密程度,這將使政府情報部門相當頭痛。據EFF指,在大型科技公司中,目前只有Apple的iMessage與FaceTime的軟體提供了端對端加密,其他如Yahoo Messenger、BlackBerry Messenger都尚未做到。

由於斯諾登踢爆了美國NSA的「棱鏡計劃」,指出美國政府經常勒令大型互聯網公司交出伺服器中的用戶通訊記錄,所以近年網絡安全專家所強調的另一個重要的安全標準是:使用者的通訊記錄,是否會記錄在通訊程式的主伺服器內?

今次得分最高的通訊軟件,大部分宣稱能做到通訊不留痕跡。它們在一般人眼中,可能寂寂無名,但其實在外國的社運界、情報界、傳媒界,以及高級商界,都是鼎鼎有名的應用程式。比如Silent Phone、Silent Text的營運團隊更是高手雲集,其聯合創辦人包括前海豹突擊隊成員、安全專家Mike Janke、2012年入選「互聯網名人堂」的全球知名語音和數據互聯網加密軟件開發者Phil Zimmermann,還有蘋果公司的全磁盤加密軟件開發者Jon Callas。這些人開發的PGP郵件加密程式,更是斯諾登與《衛報》記者的主要通訊方式,以便逃避NSA監控和追查。

表現較好的知名程式:

【蘋果iMessage】(免費,ios專用,端對端加密)

http://goo.gl/dQNvUW

【Telegram】(免費,端對端加密,閱後即焚)

http://goo.gl/4Jm1SS

得分最高的應用程式:

【Signal/RedPhone】(高級功能須收費,通話加密、通訊加密)

http://goo.gl/eriRx6

【ChatSecure】(免費,可加密Google和Facebook的通訊)

http://goo.gl/k0MDWV

【CryptoCat】(免費,可加密Facebook的通訊,可建立用完即棄的無痕加密聊天室)

http://goo.gl/mrH3y

【Silent Circle系列】(收費:加密短訊、通話)

http://goo.gl/zKviJ

 

相關字詞﹕編輯推介

上 / 下一篇新聞