Wednesday, April 18, 2018

爲什麼我不推薦使用 Telegram?

如果你是一個對安全和個人隱私稍微有些瞭解的朋友,可能聽說過 Telegram,應該也知道以下的一些常識:

  • 任何中國大陸的 IM 和互聯網服務(包括蘋果中國用戶)都是不安全的(有關部門可以隨時監控、查看、刪除你的信息)
  • 任何鼓吹安全,但沒有技術細節,不開源的國外 IM,你只能相信公司(公司就是为了赚钱的)的節操
  • E2E 對於聊天安全的重要性
  • 密碼學常見錯誤第一條:不要發明自己的加密算法
  • ……

其實類似標題的文章已經有人寫過不少了,但是還有很多朋友問我爲什麼不用 Telegram 了,這也是我整理此文的目的。


我也曾經是 Telegram 的深度用戶,大概活躍使用了2年多,還給不少圈子推廣過,也曾把個人圈子遷移到了它。坦白說它在易用性方面,的確不錯,但是鼓吹安全和保護隱私,這就有點讓人無法忍受了。

以下是我個人無法忍受,棄用 Telegram 的一些原因(也許有的你並不介意,選擇適合自己的就好):


  • 收集存儲大量用戶信息(詳見他們的隱私策略,真正收集的可能更多)
聊天記錄、圖片、視頻、文檔、聯繫人、email

收貨地址(個人真實地址)

  • 非專業人員(數學 phd 和密碼學家是完全不同的)自己發明的加密協議(參考密碼學常見錯誤),而且細節未知(代碼封閉,安全專家無法審計)

  • 協議存在嚴重和簡單低級安全問題(門外漢水平暴露:具體參考下列MIT學生做的分析「滿是 bug 的 Diffie-hellman」,還有發表在 IEICE 的2017年密碼學和信息安全研討會的相關分析「2013年推出的 IM 居然存在2005年就被發現的漏洞」)

  • 直接抄襲別人的 demo 代碼發佈使用
  • 假裝開源(官方宣稱是開源的,但是連做樣子的客戶端源碼都長期不更新,而且包含加密組件)
  • 即使 Secret chat 也存在嚴重安全問題(詳見下列演示視頻)

  • 拿用戶當白癡騙(舉例:某次大規模服務中斷,居然說是新加坡機房斷電;作爲一個有多年 IDC 工作經驗的人,我能說的是:機房建設有嚴格的標準,甚至面對地震海嘯等自然災害都幾乎不可能斷電[而且,斷電重啓恢復的時間很快,當時服務中斷了好幾個小時]。這樣的藉口,和當年某廠代理魔獸,服務中斷說是服務器被修空調的拉走一樣。完全是拿用戶當白癡騙)

  • 創始人惡意詆毀競爭對手(舉例:惡意詆毀 Signal,Whatapp 等,按照 Durov 的邏輯,所有基於美國的東西都是有政府後門的。一邊是開源組織的成熟方案,被很多安全專家審計過,也被各大互聯網公司引入;一邊是門外漢發明的東西,存在低級錯誤,封閉的掩耳盜鈴;誰靠譜,相信各位都有自己的判斷)

  • 人性(現在的時代,用戶和用戶數據就是一切。可能有不少互聯網從業者經歷過風投,投資人最關心的問題就是:你們都在收集什麼數據?作爲有上述種種劣跡的 Telegram 創始人,曾經是俄羅斯版山寨 Facebbook 的 VK 創始人「Facebook 的商業模式註定了它只能賣用戶數據」。你會相信真的有一個富豪,願意天天燒錢,就爲了保護用戶隱私?

當然,適合自己的就是最好的。有人喜歡微信、QQ 等國產  IM,有人是 Whatsapp、Line( Whatsapp 和 Line 現在已經默認是 E2E 加密,安全性高過 Telegram )等的忠實用戶。如果你對保護個人隱私有興趣,打算瞭解下 E2E 加密的 IM 的話,可以看看我最近一兩年試用整理的表格:E2E IM

如果你也關心個人隱私,歡迎加入我們的 Signal, Session 羣。
  • Session ID: 05d902606d76d672effbb2c24f73638e4e67243e108f2b9e8fca61fda818f78b5a

No comments:

Post a Comment