【開放文化觀點】TG 變 NG!三大漏洞讓 Telegram 安全性大打問號

Telegram 主打經過重度加密、免費,但從資安技術觀點來看,卻未預設啟用經過實證的點對點加密,甚至官方儲存使用者對話紀錄、對象、時間、群組成員、地點、IP 等資料,又有最高支援 20 萬人的社團,功能向社群媒體靠攏,卻未獲得等同 FB、Twitter 等社群的嚴格檢視。
評論
REUTERS/達志影像
評論

你或許沒有用過,但你絕對聽過身邊一兩個朋友鼓吹大家使用 Telegram。這個由俄國創業家 Durov 兄弟設計的通訊軟體,除了免費、私人訊息介面沒有惱人廣告之外,更大打安全牌,在官網宣稱使用者訊息經過「重度加密」(heavily encrypted)處理。

Telegram 的良好形象,使其成為香港抗爭的重要溝通管道。可惜的是,Telegram 絕非想像中安全,甚至在《Hacker Noon》的一篇文章中被批評為「刻意設計為不安全」的軟體。

資料一把抓,通訊紀錄、個人資訊通通存在 Telegram 伺服器

長期以來 Telegram 最為人詬病的問題在於:私人訊息預設非「點對點加密」(end-to-end encryption)。訊息開啟點對點加密後,只有對話的兩方擁有金鑰,看得到加密後訊息。如知名隱私通訊軟體 Signal,甚至是商業公司營運的競爭對手 LINE、WhatsApp 等,都開啟點對點加密;反而是 Telegram 要求使用者必須特別使用「私密對話」(Secret Chat),才會獲得這項功能,隱私安全大打折扣。

《Hacker Noon》的文章作者 Raphael Mimoun 批評,Telegram 的一般訊息不但沒有點對點加密,所有記錄還存在官方伺服器中。包含 Telegram 的員工或駭客,只要取得伺服器權限,就可以窺探你跟朋友下週要去哪裡吃飯,或是你傳給同事的公司機密。Mimoun 引用資安研究者 The Grugq 的話,「這是一個安全性的惡夢」。

不只通訊資料,Telegram 還會儲存你通訊的「後設資料」(metadata)。Mimoun 表示,後設資料包含了你談話的對象、時間、群組成員、他們的地點與 IP 位址等。以 Signal 為例,他們收集的只有使用者建立帳號的時間,還有通訊發生的時間,其他一無所知。

後設資料並非無傷大雅的資訊,Mimoun 引述前美國國安局長的話,表示「美國政府基於後設資料所提供的資訊就足以殺人」。

從通訊軟體變成社群媒體,Telegram 可能變成下一個可怕的社交巨人

雖然 Telegram 披著通訊軟體的皮,骨子裡卻與社群軟體相差無幾。《Hacker Noon》的文章指出,Telegram 支援 20 萬人規模的社團與頻道,提供管理員權限,讓成員之間互相交流,或是單方面傳播訊息。這些功能與臉書的社團、粉絲專頁極為相像,但政府與民間往往沒有將監管社群軟體如臉書、Twitter 上的言論真實性與煽動性的力道,同樣施加在披著通訊軟體外衣的 Telegram 身上。

Mimoun 說,香港反送中運動在 2019 年夏天時,許多成員紛紛轉移陣地到 Telegram 互動,卻因為軟體的漏洞,讓攻擊者可以收集所有群組成員的電話號碼,且不受他們的隱私設定影響。加上使用者均透過電話號碼註冊、登入 Telegram,以及中國政府操控香港電信網路的現狀,獨裁政府如果獲得了電話號碼,就可以登入使用者帳號,查看訊息。

另外,Telegram 不時行使審查權,刪除 ISIS 或白人極端主義者帳號一事雖較無爭議,但也顯示出 Telegram 的權力與責任,比我們想像來得大,卻缺乏第三方監督力量,未來若使用者遭遇資料外洩、言論審查時,自然難以自保。

廣告誇大、商業運作不清,Telegram 必須負起責任

綜觀以上紀錄,可以發現 Telegram 最大問題是廣告誇大、資訊不清。根據《Hacker Noon》,他們宣傳自己是「重度加密」的服務,卻不使用業界標準、經過千錘百鍊的加密機制,還硬要另創造一個被密碼學專家評為非標準的加密機制——MTProto,此加密機制並未經過全面且嚴謹的檢測,可信度仍待評估。同時,放棄預設點對點加密、種種資安漏洞,讓 Telegram 的信譽愈來愈低。

另外,Telegram 目前主要在反人權重鎮杜拜運作,又差點進行加密貨幣募資計劃,募集逾 17 億美金與大量現金,遭美國法院裁定不符財務規範而禁止,整起事件讓人更加難以信任 Telegram 的經營信譽。反觀競爭對手,以 LINE 為例,雖然同樣有安全漏洞系統不順、廣告惱人、貼圖昂貴、對店家高額收費惡名昭彰,但至少預設開啟點對點加密,且商業模式明確,總部設在民主、自由的東京,展現的誠意明顯高於 Telegram。

未來若 Telegram 要贏回消費者的信心,應該以業界標準預設開啟加密,避免儲存使用者後設資料,建立審查監督機制與永續的營運模式,讓 Telegram 重返昔日光榮。

責任編輯:Mia
核稿編輯:MindyLi

延伸閱讀:



疫情停課不停學、地震前拋簡訊 台灣如何用數位科技打造「智慧國家」

在地震、大雨前夕,手機敏捷地出現示警簡訊;在家遠距上班、上課,有賴於順暢網路 ⋯⋯ 這些看似再日常不過的生活環節,背後基礎都緊扣著「智慧國家」推動的政策藍圖。台灣被評比為「全世界四大超級創新國」、也被肯定是全球前 5 的 「2020 全球創新潛力」,在過去 4 年是如何深耕邁向具有創新能力、宜居的「智慧國家」?台灣人民又是如何看待這座「數位島嶼」?
評論
Photo Credit:Unsplash
評論

打開手機、掃描 QR code、發送簡訊,這不到 30 秒的步驟,讓「簡訊實聯制」成為台灣人民抗疫的重要環節。繼去年口罩實名制後,簡訊實聯制的快速整合,不僅吸引日本 NHK 媒體報導,更顯示了台灣基礎數位建設與應變實力。事實上,台灣自 2016 年起推動「數位國家、智慧島嶼」的目標,短短 4 年內已有成果,吸引 Google 在台擴大資料中心投資計畫,同時,台灣微軟、亞馬遜 AWS 接連來台駐點。到底是哪些數位政策,讓台灣持續邁向「智慧國家」?對照其他國家,台灣又有什麼獨特之處?

疫後時代比拚數位實力》對照星、韓 看見台灣數位政策亮點

以鄰近國家新加坡為例,2014 年推出「智慧國家 2025」計畫,協助中小企業與人民「數位化」,並打造逾 9 成的網路滲透率,積極邁向全球首個智慧國家的目標。伴隨 Covid-19 疫情的擴散,意外促使「零接觸經濟」發酵,新加坡看準趨勢推出「攤販數碼化轉型計畫」(Hawkers Go Digital),補助地方的小攤小販們改採 QR code 形式結帳,藉此加速整體社會的數位轉型腳步。

此外,韓國也看見國家帶頭數位化的重要趨勢,於 2020 年規劃 8大領域的「數位新政」(New Deal),積極布局 5G、AI 等產業,像是自駕車技術運送病患、AI 即時病情診斷等數位創新方案,能在未來即時協助民生需求。

台灣在過去 4 年深耕「數位實力」,像是 2019 年推出全球第一輛自駕公車,解決偏遠地區的大眾運輸成本高、人力不足的痛點;以及同年推出全球第 2 個可將災害訊息快速發送「手機災防告警訊息」服務,整個過程不到 1 秒,目的是為了盡可能爭取逃生秒數、降低受傷人數。

再以各國相當重視、也是數位發展根基的「基礎數位建設」為例,台灣的高速寬頻服務涵蓋率(1Gbps)已達 90%,隨手都可連上 iTaiwan 無線上網服務,甚至是連 481個原鄉部落都設置 i-Tribe 無線網路服務。這不只是彌平城鄉的「數位落差」,更協助桃園復興區、台東金峰鄉帶動農產品的網路行銷、產值提升。

日常生活有感!見證「數位島嶼」一步步落成

當數位政策走進生活,台灣民眾又有什麼樣的感受?根據關鍵議題調查中心的調查(註),最有感、最感興趣的便是「數位環境基礎建設完善」,普遍認為 iTaiwan 熱點上網的普及率高,相當滿意;並且不分性別年齡族群,都期待網速、熱點數量的提升。

Photo Credit:關鍵議題調查中心
台灣民眾普遍認為 iTaiwan 熱點上網普及率高,相當滿意。

不只如此,順應防疫需求,許多在地店家都自主加入「行動支付」的行列,進一步推動數位經濟發展,調查中也顯示,民眾相當滿意金融科技、數位商務的發展。不過,台灣 16~34 歲男性族群,多普遍認為「生技醫療」應為最為優先投入「數位創新」,其次才是「資訊科技」,顯示疫情時代下,民眾對於生技醫療「數位創新」的期待更深。

Photo Credit:關鍵議題調查中心
台灣民眾相當滿意金融科技、數位商務的發展。

不過全球推動數位政策的趨勢中,如何把關、互通資料的標準,一直是數位治理的重點。以新加坡為例,主打只要一支手機,就能搞定轉帳付費、查詢最佳路況、掛號預約醫院等食醫衣住行育樂行為。但公民的隱私安全如何掌控,卻成了難解的爭議難題,對此,台灣民眾對於資料開放與互通標準,認為應有更多的公開透明與課責。

Photo Credit:關鍵議題調查中心
台灣民眾認為應有更多的公開透明與課責。

除此之外,在台灣不斷推展數位政策下,教育部的線上教學便利包,在「停課不停學」中措施扮演關鍵角色。在公私協力合作下,打造出豐富的線上學習資源平台,再加上網路的普及,不論是偏鄉、都市的學童,只要有一台電腦,就可在家運用線上資源,讓資訊能無時差地、無身份地差別走進各個家戶內,以平衡城鄉差距及實踐「數位平權」。同時,弱勢族群面臨的數位落差也逐漸消弭,像是社會企業「若水國際」的引入下,身障者也能任職科技產業,實際落實每位公民擁有相等使用數位的權利,落實數位平權的發展。

準備好支持未來十年發展!智慧國家已啟航

值得注意的是,調查中發現,台灣多數民眾期待台灣早日成為智慧國家,以提升個人生活品質與國家的國際競爭力;不過現階段僅 1 成民眾表示熟悉智慧國家的相關政策,顯示多數民眾仍不太熟悉、政策無法直接與個人生活福祉有所連結。

不過,這也是台灣推動「智慧國家」政策未來 5 年(2021-2025)的重要目標,舉實例來說,從公務機關的辦理作業全面數位化開始,期待於 2025 年達成 100% 導入「 MyData 取代紙本臨櫃核驗」機制;同時,與新加坡的智慧國家相似,為了支持中小企業持續數位創新,將協助投入資安與數位商業模式的導入,加速數位轉型、數位經濟的發展。

而人才的培育也得跟上數位趨勢,因此 5G 基礎建設、海底電纜建設的完備缺一不可,才能進一步全方面推動 5G 教育,期待能在 2025 年建立 10 個 5G 校園應用實作場域,藉此為國內培育優秀的 5G 人才。

儘管疫情的到來,意外推升了全球對於數位轉型、數位發展的需求,但以防疫面向來看,像是自駕車來運送須待隔離的病患;或是運用 AI 即時判斷病情,得以疏散醫療資源的使用,又或者是透過無人機配送貨物等數位化應用,更加強化了科技防疫存在的必要與重要性。這場疫情刺激韓國、新加坡強化「智慧防疫」的意識,更是說明了台灣深耕、投入「智慧國家」的方向,確實踏上了重要的趨勢道路。

行政院科技會報辦公室 廣告

  • 註解:本文內民眾對數位政策滿意係依台灣 16-65 歲的網路使用人口結構進行調查,自 110 年 4 月 29 日起至 5 月 13 日止,採用線上網路問卷調查有效樣本數共 754 份,在 95% 信心水準下,其抽樣誤差介於 ±3.57% 之間。