测评完国外加密聊天APP,我决定用回国产软件 国际加密聊天软件

新闻资讯2024-06-09 21:47小乐

测评完国外加密聊天APP,我决定用回国产软件 国际加密聊天软件

随着棱镜门、Facebook用户信息泄露事件的爆发,国外网民对信息安全空前关注。甚至网友们也在谷歌上疯狂搜索什么类型的加密软件最好。

不仅在国外,在国内,近期各项信息安全规定和法律的出台,以及“国资云”项目的启动,都预示着数据安全时代的到来。个人隐私和商业秘密逐渐成为通信软件关注的焦点。因此,网友们也前所未有地学习各种信息安全知识,以便选择更好的加密聊天软件。小编调查了13款国外通信软件,从各个安全标准和维度对它们进行了对比评价。

这13 个应用程序是:Google Messages、Apple iMessage、Facebook Messenger、Element(以前称为Riot)、Signal、Microsoft Skype、Telegram、Threema、Viber、WhatsApp、Wickr Me、Wire 和Session。 (本文主要APP的数据和信息主要来自母公司官网和不同社交媒体提供的信息(包括安全消息应用程序、汤姆指南、techradar、ZDNet、卡巴斯基、AVG))

1、基建母公司管辖:

这13款软件中,母公司大多隶属于英国、美国、澳大利亚,其中70%以上来自美国。基础设施的布局也主要在美国,辐射到世界不同地区。虽然Viber的母公司分别是日本和卢森堡,但部署地点仍然是美国。只有Threema 的母公司和基础设施位于瑞士。

2、与情报机构的合作:

尽管这些通讯软件旗下的公司不是国企,但仍有五家公司有向情报机构提供用户数据的历史(Google Messages、Apple iMessage、Facebook Messenger、微软Skype 和WhatsApp)。

3.内置监控功能:

使用软件的过程应该被定义为用户的私人领域。不幸的是,仍然有一个APP(微软Skype)在用户使用过程中监控用户的信息和习惯。

4、提供公开透明的报告:可能涉及运营模式、产品数据、专利等敏感信息。 Element(原Riot)、Telegram 和Viber 选择不提供高度透明的公共业务报告。 5、公然收集用户数据:“个人隐私数据就是免费使用的代价”。 —— 在充斥着类似概念的互联网环境下,巨头们疯狂收割网友信息,为更精准的大数据分析贡献力量。但近年来,随着公众隐私意识的觉醒,这种观点越来越站不住脚。人们宁愿使用付费模式,也不愿意让自己的碎片化信息暴露在阳光下。根据历史数据,谷歌、苹果、Facebook、微软、帕维尔·杜罗夫、亚马逊和Viber的母公司都选择公开收集用户信息。

6、APP收集用户信息并发送给母公司或第三方机构:通过收集用户数据,软件可以分析群体画像,为企业策略提供参考;另一方面,可以通过“用户信息共享”实现行业合作,在赚取不义之财的同时,巩固和扩大业务圈。不幸的是,在这种暴利趋势下,大多数应用程序都陷入了深渊。 —— Facebook Messenger、WhatsApp、Viber、Google Messages 和Apple iMessage 基本上收集用户的全维度信息,包括健康、财务、位置、搜索历史、浏览历史、数据等敏感数据。其他应用程序或多或少收集常见数据,例如联系人和位置。值得一提的是,Session作为一张白纸,没有任何证据表明其收集了用户数据,也没有任何线索表明其将用户数据移交给了母公司。 7、默认不开启加密功能:加密功能默认开启,决定了App开发者对安全通信的重视。小编经过调查发现,这13款应用中,Facebook Messenger、微软Skype和Telegram均默认关闭。 Viber 和WhatsApp 是否默认开启取决于用户的设备。

8、加密算法不安全:加密算法的复杂程度决定了产品的安全性。复杂的加密模式会大大增加破解成本。复合、多维度的加密模式将使劫持难度呈几何级数增加,从而达到最佳的安全防护。目的。这13款应用大部分采用了Curve25519、AES-256、HMAC-SHA256等主流加密算法。其中,苹果iMessage和微软Skype仍然使用极其脆弱的SHA-1(安全哈希算法1)。 SHA-1早在2005年就已经得到分析师的证实,并公布了有效的攻击方式。对于资金和计算资源相对充裕的黑客来说,SHA-1很难抵御。可见这两款App的算法还差强人意。 9、软件和服务器不开源:开源软件不受官方限制,可以通过更多渠道进行扩展和应用。客户甚至可以按照自己喜欢的方式维护和改进产品本身。开源是一种更符合互联网精神的举措。不幸的是,只有Element、Signal、Session和Wire采用完全开源的机制。 10.可重复构建(Reproducible Builds)反向验证App不支持:虽然任何人都可以检查免费开源软件的源代码是否存在恶意缺陷,但大多数软件都是预编译的,无法确认它们是否对应。因此,Reproducible Builds可以验证编译过程中是否引入了漏洞或后门,从而防止威胁和攻击。不幸的是,只有Telegram 支持IOS 和Android 上的验证,Threema 和Signal 只支持Android 上的验证,其他应用程序不允许重复构建。

11、支持匿名注册:虽然很多通讯软件都希望通过匿名注册的方式让网友提前体验产品,增加粘性。然而,匿名注册不仅会增加无效用户数量、降低进入门槛,还会使注册用户面临潜在的信息安全威胁。目前只有Element、Threema、Wickr Me 和Session 支持匿名注册。 12. 可以通过修改目录服务器来启用中间人攻击:中间人攻击(MITM)是一种拦截正常网络通信数据并进行数据篡改和嗅探的攻击方式。整个沟通过程双方都没有任何知情。令人震惊的是,除了Google Messages使用RCS而不是目录服务器之外,所有列出的应用程序都支持通过修改目录服务器进行中间人攻击。安全性可想而知。 13、指纹变化不会通知用户:指纹识别是识别用户身份的一种方式,就像登录密码一样。变更后应提醒用户,以便用户立即意识到自己账户的安全性。调查显示,苹果iMessage、Skype、WhatsApp 和Telegram 并未告知用户此事。 14、个人信息未经过哈希处理:哈希算法在密码学中的主要作用是进行消息摘要和签名,主要用于消息完整性验证。哈希算法是不可逆的,用于在密文中保存密码的签名。网站后台只保存签名值。这样,即使App中保存的信息被盗,也无法获取用户的密码,安全性更高。在这13款应用中,只有Element、Threema和Wickr Me完全使用哈希来处理用户的手机号码、联系人和其他私人信息。

综合以上14个指标,这13款通讯App中,相对安全的只有Signal、Threema和Wire。但这三款软件仍然存在不同程度的安全问题,这三款软件仍然没有摆脱信息安全——公有云存储信息的根源问题。因此,跳回国内,如果有一款通信软件能够满足私有云部署的严酷条件,基本上就可以避免上述14个标准中提到的大部分问题。从小编目前走访市场的结果来看,国产通讯软件要么追求快速获客(免费使用)而忽视安全技术加持,要么加密技术不足,要么使用场景单一,要么功能不丰富。够齐全,不然成本太高(搭建专业服务器进行私有化部署).目前只有一款通讯软件可以满足高性价比的需求,私有化部署,顶尖的加密技术,好资料安全防护硬件,全面强大的通讯软件,那就是新源豆。小编目前正在试用中,以后会重新写一篇试用体验的文章,供关注信息安全的朋友参考。

猜你喜欢