Tuesday, August 16, 2016

Is a Telegram secret chat bug?

事情是這樣的:

最近開始關注IM group chat的安全性,於是也順便看了下一直在用的Telegram,突然在Settings--Privacy and Security的最下面發現有一個secret chatsLink Previews開關;


然後我就順便測試下,測試結論如下:如果你開啓了,則你就會啓用Link Prievew,對方不開啓,對方則不會;


奇怪的是:一旦選擇了開啓 secret chats的 link preview,就無法再關閉了(除非卸載重新安裝telegram)





總覺得好像哪裏不對,於是查了下 link preview的原理:
How does Link Preview technically work?

Link Preview is generated server-side. Means, that users send the link to the server, server is fetching infos via API, creates a rich text preview and sends it back to the user. IP of server is shown to the API, not the IP address of the user.
http://telegram.wiki/tips:linkpreview

一想,secret chat說的是end-to-end的加密,服務器怎麼可能知道我們發的信息是link呢?





結合上面的種種情況,我只能猜測:這表面上是一個link preview的開關,其實是把secret chat變成normal chat的開關;因爲從end-to-end 到normal,再從normal回到end-to-end這是不可逆的(這也解釋了爲什麼一旦開啓後,這個選項就消失了);所以,表面上顯示我們是在用end-to-end,其實已經變成了基於mtproto(安全性未知)的normal chat。這完全是一種對用戶的欺騙啊, 你覺得呢?

UPDATE: 看起來這是個BUG,v3.12.0修復了,如果我上面的猜測給您帶來了困擾,還請見諒




另外:由於Telegram僅僅是部分開源,加上使用自創的加密協議(安全界公認的大忌),如果您對安全和隱私比較在意的話,還是建議選用基於signal協議的IM靠譜,比如signal或者whatsapp

PS: No Whatsapp,詳見 WhatsApp to Share Your Data with Facebook

No comments:

Post a Comment