【開放文化觀點】TG 變 NG!三大漏洞讓 Telegram 安全性大打問號

Telegram 主打經過重度加密、免費,但從資安技術觀點來看,卻未預設啟用經過實證的點對點加密,甚至官方儲存使用者對話紀錄、對象、時間、群組成員、地點、IP 等資料,又有最高支援 20 萬人的社團,功能向社群媒體靠攏,卻未獲得等同 FB、Twitter 等社群的嚴格檢視。
評論
REUTERS/達志影像
評論

你或許沒有用過,但你絕對聽過身邊一兩個朋友鼓吹大家使用 Telegram。這個由俄國創業家 Durov 兄弟設計的通訊軟體,除了免費、私人訊息介面沒有惱人廣告之外,更大打安全牌,在官網宣稱使用者訊息經過「重度加密」(heavily encrypted)處理。

Telegram 的良好形象,使其成為香港抗爭的重要溝通管道。可惜的是,Telegram 絕非想像中安全,甚至在《Hacker Noon》的一篇文章中被批評為「刻意設計為不安全」的軟體。

資料一把抓,通訊紀錄、個人資訊通通存在 Telegram 伺服器

長期以來 Telegram 最為人詬病的問題在於:私人訊息預設非「點對點加密」(end-to-end encryption)。訊息開啟點對點加密後,只有對話的兩方擁有金鑰,看得到加密後訊息。如知名隱私通訊軟體 Signal,甚至是商業公司營運的競爭對手 LINE、WhatsApp 等,都開啟點對點加密;反而是 Telegram 要求使用者必須特別使用「私密對話」(Secret Chat),才會獲得這項功能,隱私安全大打折扣。

《Hacker Noon》的文章作者 Raphael Mimoun 批評,Telegram 的一般訊息不但沒有點對點加密,所有記錄還存在官方伺服器中。包含 Telegram 的員工或駭客,只要取得伺服器權限,就可以窺探你跟朋友下週要去哪裡吃飯,或是你傳給同事的公司機密。Mimoun 引用資安研究者 The Grugq 的話,「這是一個安全性的惡夢」。

不只通訊資料,Telegram 還會儲存你通訊的「後設資料」(metadata)。Mimoun 表示,後設資料包含了你談話的對象、時間、群組成員、他們的地點與 IP 位址等。以 Signal 為例,他們收集的只有使用者建立帳號的時間,還有通訊發生的時間,其他一無所知。

後設資料並非無傷大雅的資訊,Mimoun 引述前美國國安局長的話,表示「美國政府基於後設資料所提供的資訊就足以殺人」。

從通訊軟體變成社群媒體,Telegram 可能變成下一個可怕的社交巨人

雖然 Telegram 披著通訊軟體的皮,骨子裡卻與社群軟體相差無幾。《Hacker Noon》的文章指出,Telegram 支援 20 萬人規模的社團與頻道,提供管理員權限,讓成員之間互相交流,或是單方面傳播訊息。這些功能與臉書的社團、粉絲專頁極為相像,但政府與民間往往沒有將監管社群軟體如臉書、Twitter 上的言論真實性與煽動性的力道,同樣施加在披著通訊軟體外衣的 Telegram 身上。

Mimoun 說,香港反送中運動在 2019 年夏天時,許多成員紛紛轉移陣地到 Telegram 互動,卻因為軟體的漏洞,讓攻擊者可以收集所有群組成員的電話號碼,且不受他們的隱私設定影響。加上使用者均透過電話號碼註冊、登入 Telegram,以及中國政府操控香港電信網路的現狀,獨裁政府如果獲得了電話號碼,就可以登入使用者帳號,查看訊息。

另外,Telegram 不時行使審查權,刪除 ISIS 或白人極端主義者帳號一事雖較無爭議,但也顯示出 Telegram 的權力與責任,比我們想像來得大,卻缺乏第三方監督力量,未來若使用者遭遇資料外洩、言論審查時,自然難以自保。

廣告誇大、商業運作不清,Telegram 必須負起責任

綜觀以上紀錄,可以發現 Telegram 最大問題是廣告誇大、資訊不清。根據《Hacker Noon》,他們宣傳自己是「重度加密」的服務,卻不使用業界標準、經過千錘百鍊的加密機制,還硬要另創造一個被密碼學專家評為非標準的加密機制——MTProto,此加密機制並未經過全面且嚴謹的檢測,可信度仍待評估。同時,放棄預設點對點加密、種種資安漏洞,讓 Telegram 的信譽愈來愈低。

另外,Telegram 目前主要在反人權重鎮杜拜運作,又差點進行加密貨幣募資計劃,募集逾 17 億美金與大量現金,遭美國法院裁定不符財務規範而禁止,整起事件讓人更加難以信任 Telegram 的經營信譽。反觀競爭對手,以 LINE 為例,雖然同樣有安全漏洞系統不順、廣告惱人、貼圖昂貴、對店家高額收費惡名昭彰,但至少預設開啟點對點加密,且商業模式明確,總部設在民主、自由的東京,展現的誠意明顯高於 Telegram。

未來若 Telegram 要贏回消費者的信心,應該以業界標準預設開啟加密,避免儲存使用者後設資料,建立審查監督機制與永續的營運模式,讓 Telegram 重返昔日光榮。

責任編輯:Mia
核稿編輯:MindyLi

延伸閱讀:



百年汽車製造商憑什麼談環境永續?奧迪環境基金會與學生團隊跨界對談,共同為環境努力

作為百年汽車製造商,尤其是像奧迪這樣的大型領導企業,對環境的影響想必是不可忽視。既然如此,奧迪能怎麼做?又能以什麼樣的方式來達成永續?
評論
Photo Credit:TNL Brand Studio
評論

奧迪創新獎 Audi Innovation Award (AIA) 是奧迪自2018年起,為了尋找具有創意且能夠改善人們生活方式的新創團隊所舉辦。本屆奧迪創新獎更首度邀請學生團隊加入競賽,獲選的提案將能獲得獎學金。台灣福斯集團暨台灣奧迪總裁安薩瑞(Rahil Ansari)表示,今年奧迪以永續城市為主題,邀請了來自台灣頂尖大學的學生團隊,各自提出他們對城市永續的創意想法,藉由與學生交流,更能為奧迪帶來新鮮氣息,以及充滿活力的新創氛圍。

台灣福斯集團暨台灣奧迪總裁安薩瑞 Rahil Ansari。/Photo Credit: TNL Brand Studio

台灣學生挑戰國際競賽,實踐想法超興奮

本屆的評審委員,也是奧迪環境基金會的資深顧問Matthias Rossmann博士指出,這個深具啟發性的獎項,不僅將德國、台灣的企業與人才匯聚在一起,為了追求一個有意義的共同目標,彼此分享、激盪,是一件相當令人感到興奮的事情;更希望透過學生們新穎的眼光,來點亮這個世界的多種可能。

在台灣的四個團隊中,包括了代表清華大學材料科學與工程學系的蘇姮侒、清華大學工業工程與工程管理學系的林芮伃、臺灣科技大學應用科技研究所的張培旺,以及清華大學材料科學與工程學系的林曜宇。張培旺靦腆地表示,在參加之前,其實並不知道AIA是一個什麼樣的競賽,所以做了很多事前的準備;在實際參加後,更是認同AIA的理念,很高興有機會可以把自己腦中的想法,化為現實可行的作法。而來自清大的蘇姮侒也有同樣的感受,能夠把所學變成所用,甚至更進一步的推展擴大,是這次參加活動最大的收穫。

Photo Credit:TNL Brand Studio

刻寫在DNA中的新創力,轉化成永續科技的動能

針對本次競賽的主題「永續城市」,學生們最初的確感到有些困惑。作為百年汽車製造商,尤其是像奧迪這樣的大型領導企業,對環境的影響想必是不可忽視。既然如此,奧迪能怎麼做?又要用什麼樣的角度來談永續?Matthias Rossmann博士認為,事實上,這正是全球的汽車製造商所面臨的挑戰,而奧迪願意正面接受這樣的考驗,並且做出承諾。因此在2009年成立了奧迪環境基金會,就是希望借力使力,將與環境相關的問題,透過科技、技術的力量來解決。藉由解決這些全球性問題的過程中,奧迪環境基金會更期待引發每一位奧迪人對環境的熱情與認識。

奧迪環境基金會資深顧問Matthias Rossmann博士。/Photo Credit:TNL Brand Studio

Matthias Rossmann博士同時也分享了奧迪環境基金會所進行研發的兩個項目。首先是與德國柏林大學合作,用於對付目前無所不在的塑膠微粒的智慧過濾器。這個過濾器被設計成適合安置在城市的下水道系統中,除了直接過濾掉有害的塑膠微粒之外,更重要的是收集這些東西的來源、型式,並且數據化,就能建立城市中的塑膠微粒熱區,以便針對這些地方進行防治、宣導及改善的工作。另一個非常有趣的項目則是與海德堡大學合作,開發配備了先進傳感器技術的無人機,用來監測樹林中的狀態,對於有志於保護植物生態系統的人來說,這無異為最有力的幫手。

Photo Credit:TNL Brand Studio

從移動到居住,為下一個世代而生的解決方案

永續、環保的實踐,不再只是自備環保餐具和環保袋而已,奧迪環境基金會把這個影響巨大、需要全球一起努力的環境議題,視為一個創造的契機,一個能夠透過創新思維、前端科技,打造出更適合人們生活的環境的機會,也是幫助我們的地球資源能夠永續循環的機會。

在精彩刺激的競賽之後,2021年的奧迪創新獎AIA圓滿落幕,所有參加的團隊不只具備很強的新創能量,也提出了非常有趣、複雜的設計。而學生團隊的優秀表現,更是令評審耳目一新且印象深刻。Matthias Rossmann博士表示非常期待將來能有機會,與這些學生們一起工作,嘗試更多的可能性。安薩瑞總裁(Rahil Ansari)也提出了願景,希望透過這樣的共識以及共同努力,可以加速打造一個永續的、宜居的、對所有人都更好的,專屬於下一個世代的居住環境。