ResearchApp Privacy and Controls

【我們繼續聊天?】常見問題

By , , and
閱讀完整研究報告:【我們繼續聊天?】微信  MMTLS  加密協定的安全性分析

這項研究如何加深我們對微信的了解?

微信是一個具有許多功能的應用程式。之前我們研究過圍繞小程式的隱私問題,以及微信對文字圖片訊息的監視及審查。在這項研究中,我們主要關注微信的網路加密協定及其安全性。

當像我們這樣的資訊安全研究人員分析應用程式的安全性時,我們會執行網路流量分析,以分析應用程式傳送的內容及傳送方式。此類分析可以告訴我們應用程式收集哪些資料以及與誰共享資料。

在微信上執行這樣的分析起初並非易事。如今,大多數應用程式都採用業界標準的傳輸層安全協定(TLS)來加密其網路流量的內容,這通常可以防止竊聽者讀取底層資料。當研究人員希望分析自己的應用程式傳送的流量時,已經存在用於解密此類內容的通用工具。然而,此類工具不適用於微信,因為微信採用了與 TLS 不同的專有網路加密協定,稱為「MMTLS」。在這項研究之前,人們對 MMTLS 知之甚少,也沒有現有的工具來檢查採用 MMTLS 加密的內容。

我們對微信網路加密的內部工作原理進行了逆向工程,發現其安全性存在一些小問題。我們發現之前提到的 MMTLS 只是微信採用的外層加密。在 MMTLS 中,我們發現了完全獨立於 MMTLS 運作的第二層加密,稱為「業務層加密」。兩個加密系統像俄羅斯套娃一樣「嵌套」在一起,即明文內容首先使用業務層加密進行加密,得到的業務層密文將作為 MMTLS 加密的輸入,產生 MMTLS 密文,最終再透過網路傳送 MMTLS 密文。

我們發現業務層加密存在幾個問題,最嚴重的是後設資料洩漏,導致用戶帳戶編號和其他一些資訊未在這一層加密。我們初步研究了一個早期的微信版本,發現其中只有業務層加密。這些發現表明業務層加密比 MMTLS 更早出現,而 MMTLS 可能旨在彌補業務層加密的缺點。由於 MMTLS 加密包覆在業務層加密之外,因此若攻擊者欲利用業務層加密的弱點,通常必須先破壞 MMTLS 層提供的保護。 

到目前為止,我們尚未發現 MMTLS 有嚴重的安全性問題。因此,儘管業務層加密存在漏洞,但這些問題無法被攻擊者利用,並且不會影響應用程式網路加密的整體安全性。

我在微信上的通訊安全嗎?

每個人認同的威脅模型各異,因此對「安全」的定義也不同。如果您擔心您與其他微信用戶的通訊內容會被網路竊聽者讀取,我們的研究表明,儘管與行業標準加密協定相比,微信的加密協定對網路竊聽的保護較弱,但微信的加密協定應不至於受到當今已知的攻擊方法所影響。

微信使用自訂的加密協定而不是行業標準的傳輸層安全協定(TLS)。資訊安全專家通常不建議使用自訂設計進行加密,因為經過充分測試的加密協定通常需要許多研究人員多年的共同努力。單一公司不太可能投入同等程度的心力。我們也發現微信的加密協定存在一些小問題,而 TLS 中不存在類似的問題。

總而言之,儘管我們沒有發現微信加密協定有任何重大缺陷,但我們仍然發現了一些小問題。這些問題不會損害用戶通訊的機密性。然而,在業界標準 TLS 中並不存在同樣的問題。

中國政府可以閱讀我的微信訊息嗎?

在監管層面,由於騰訊總部位於中國,因此必須遵守當地法律並回應中國政府對用戶資料的要求。

從技術層面來說,微信的加密協定保護了用戶設備與微信伺服器之間的通訊。但它並非端對端加密系統,不會對兩個用戶設備之間傳送的資料進行加密。微信的伺服器可以並且確實會解密並讀取每條傳輸的訊息。之前,我們已經發現微信採用基於關鍵字的偵測系統來審查中國用戶傳送和接收的私人訊息。該應用程式還使用非中國用戶傳送的附檔來訓練他們針對中國用戶的審查資料庫

微信收集哪些用戶資料?

我們之前的報告回答了這個問題。

我的手機內有敏感資料。如果我安裝了微信,它會竊取這些資料嗎?

現代手機作業系統(OS)通常會限制應用程式存取使用者的敏感資料(例如聯絡人和照片)及系統資源(例如定位服務)以及其他應用程式中儲存的資料(例如聊天紀錄)。因此,在沒有使用者授權的情況下,應用程式很難存取敏感資料。然而,惡意應用程式可能會利用作業系統保護中的漏洞規避這些存取限制。惡意應用程式也可能誘騙使用者授予存取資料的權限。

測試微信是否表現出這些惡意行為超出了我們的研究範圍。但在我們的研究過程中,我們亦沒有觀察到上述惡意行為。(也就是說,我們的研究並未刻意尋找上述惡意行為,但在研究過程中我們所接觸到的微信程式碼的範圍內,也沒有發現上述惡意行為。在我們研究未探索的程式碼中,是否存在上述惡意行為仍是未知數。)

為了保護自己免受此類攻擊,我們建議:

  1. 確保您手機的作業系統版本目前仍受製造商支援
  2. 及時更新手機作業系統
  3. 從官方來源(內建應用商店)安裝應用程式,而不是非官方來源
  4. 安裝前檢查應用程式的聲譽
  5. 使用專用設備來處理高度敏感的資料

微信在解除安裝後是否仍會損害手機的安全及隱私?

如上所述,現代手機作業系統採取系統保護手段來控制應用程式對敏感資料的存取。從技術上來說,應用程式在解除安裝後很難維持對系統的植入。然而,某些惡意應用程式可能會嘗試利用系統漏洞來執行此操作。

測試微信是否表現出這些惡意行為超出了我們的研究範圍。然而,我們在研究中並沒有觀察到此類惡意行為。

如果我還有其他問題怎麼辦?

閱讀我們的完整報告以及我們之前的微信隱私分析報告中的常見問題

譯文注意事項:此為英文原始報告的非正式翻譯,其中可能含有不準確之處。其目的僅為提供對我們研究的基本說明。如有差異或歧義,以本報告的英文版本為準。