ResearchApp Privacy and Controls

【我们继续聊天?】常问问题

By , , and
阅读完整报告:我们也应该聊天吗?(Should We Chat, Too?)微信 MMTLS 加密协议安全性分析

这项研究如何加深我们对微信的了解?

微信是一款具有多种功能的应用程序。之前,我们研究了小程序的隐私问题及其监视以及审查文本图像消息。本研究重点研究微信的网络加密协议及其安全性。

当我们这样的信息安全研究人员分析应用程序的安全性时,我们会执行网络流量分析,以研究应用程序发送了什么以及如何发送。通过该分析,我们可以了解该应用程序收集了哪些数据以及与谁共享这些数据。

在微信上进行这样的分析最初并不简单。当今大多数应用程序使用行业标准传输层安全性协议(TLS)来加密其网络流量的内容,这通常可以使窃听者无法读取底层数据。当研究人员希望分析他们自己的应用程序发送的流量时,已经存在解密此类内容的常用工具。然而,这些工具不适用于微信,因为它使用不同于TLS的专有网络加密协议,称为“MMTLS”。在本次研究之前,人们对MMTLS知之甚少,并且没有现有的工具可以检查使用MMTLS加密的内容。

我们对微信网络加密的内部工作原理进行了逆向工程,发现其安全性存在一些小问题。我们发现,之前所说的MMTLS只是微信使用的外层加密。在MMTLS中,我们发现了完全独立于MMTLS的第二层加密,称为“业务层加密”。两种加密体系像俄罗斯套娃一样互相“嵌套”,即先对明文内容进行业务层加密,再将得到的业务层密文作为MMTLS加密的输入,得到MMTLS密文,并透过网络发送出去。

我们发现业务层加密存在几个问题,最严重的是元数据泄漏,导致用户帐户ID和一些其他信息在此层未被加密。我们简单研究了一下旧版微信,发现只包含业务层加密。这些发现表明,业务层加密比MMTLS更早被使用,并且MMTLS很可能是为了弥补业务层加密的缺点而设计的。由于MMTLS加密包裹着业务层加密,因此试图利用业务层加密的弱点通常必须先破坏MMTLS层提供的保护。 

到目前为止,我们还没有发现MMTLS存在严重的安全问题。因此,尽管业务层加密存在漏洞,但这些问题无法被攻击者利用,并且不会影响应用程序网络加密的整体安全性。

我在微信上的通讯安全吗?

每个人认同的威胁模型各异,因此对“安全”的定义也不同。如果您担心与其他微信用户的通信内容被网络窃听者看到,我们的研究表明,尽管与行业标准加密协议相比,微信的加密协议对网络窃听的保护较弱,但它不易受到目前已知的任何攻击技术的影响。

微信使用自定义加密协议,而不是行业标准的传输层安全性协议(TLS)。信息安全专家通常不建议使用定制设计的加密协议,因为经过良好测试的加密协议通常需要许多研究人员多年的共同努力。单个公司不可能投入同等程度的心力。我们还发现微信的加密协议中存在一些小问题,而TLS中并不存在同样的问题。

总而言之,尽管我们没有发现微信的加密协议存在任何重大弱点,但我们仍然发现了一些小问题。这些问题不会损害用户通讯的机密性。然而,行业标准TLS中并不存在同样的问题。

中国政府能够阅读我的微信信息吗?

在监管层面,由于腾讯总部位于中国,因此必须遵守当地法律并回应中国政府的用户数据请求。

从技术层面上,微信的加密协议保护了用户设备与微信服务器之间的通信。它不是一个端到端加密系统,不会对两个用户设备之间发送的数据进行加密。微信的服务器可以解密并阅读每条传输的消息。过去,我们发现微信使用基于关键词的检测系统审查中国用户发送和接收的私人信息。该应用程序还使用非中国用户发送的文件训练他们审查中国用户文件的数据库

微信收集哪些类型的用户数据?

请参阅我们的之前的报告,其中回答了这个问题。

我有一部包含敏感数据的手机。如果我安装微信,它能窃取这些数据吗?

现代手机操作系统(OS)通常限制应用程序访问敏感用户数据(例如联系人和照片)和系统资源(例如地理位置服务),以及存储在其他应用程序中的数据(例如聊天应用程序中的聊天记录)。因此,从技术上讲,应用程序很难在未经用户授权的情况下访问敏感数据。然而,恶意应用程序可以利用操作系统保护中的漏洞并绕过这些访问限制。恶意应用程序还可能会诱骗用户授予访问数据的权限。

测试微信是否表现出这些恶意行为超出了我们的研究范围。但我们在研究中也没有观察到上述恶意行为。

为了保护自己免受此类攻击,我们建议:

  1. 确保您的手机的操作系统版本目前受供应商支持
  2. 保持手机操作系统为最新版本
  3. 从官方来源(内置应用商店)安装应用程序,而不是非官方来源
  4. 安装前检查应用程序的声誉
  5. 对于高度敏感的信息,使用其他专属的设备来处理

微信卸载后还会损害手机安全和隐私吗?

如上所述,现代手机操作系统通过实施系统保护来控制应用程序对敏感数据的访问。从技术上来说,应用程序卸载后很难在系统上保留植入物。然而,一些恶意应用程序可能会尝试利用系统漏洞来实现这一点。

测试微信是否表现出这些恶意行为超出了我们的研究范围。然而,我们在整个研究中并没有观察到这种恶意行为。

如果还有其他问题怎么办?

阅读我们的完整报告并查看我们之前分析微信隐私的报告中的常问问题

翻译说明:这是原始英文报告的非正式翻译。此非正式翻译可能包含不准确之处。其目的仅是为了提供对我们研究的基本了解。若存在差异或歧义,请以本报告的英文版本为准。