WhatsApp 为全球最流行的通讯应用程式,一般认为其安全性并无疑虑,但记者仍应注意存在的资料和隐私问题。无国界记者(RSF)探讨与此通讯应用程式相关的安全风险,以及安全使用的最佳方式。
WhatsApp 由 Facebook 母公司 Meta 拥有,这款全球最受欢迎通讯应用程式的每月使用人数达20亿人,也被普遍认为是最安全的通讯应用程式之一。WhatsApp 更在私人聊天、群组聊天甚至视讯通话上都采用端到端加密(E2EE),使政府直接监控(无论是否获得其管理阶层同意)的难度大幅提升,这可能是中国自2017年起禁用该应用程式的原因。
然而,Meta 并未系统地拒绝政府的资料要求,美国公民自由联盟(American Civil Liberties Union,ACLU)已要求该公司就涉嫌给予政府监控小组存取权限一事接受调查。该应用程式更发生许多资料和隐私问题,记者尤应对此保持警惕。
主要风险
- 复杂的恶意软体攻击。恶意软体透过恶意连结、修改或复制应用程式的第三方模组在WhatsApp 上广传,过去甚至曾透过视讯通话功能的漏洞进行感染。恶意软体隐藏于背景中悄悄运作以记录密码和活动,因此往往难以侦测。记者尤其需要对此保持关注,因间谍软体可使用于保护消息来源或敏感资讯的任何预防性安全措施失效。
- 储存和备份功能未加密。WhatsApp 使用端到端加密技术,全程加密装置之间所进行通讯的内容(视讯源、讯息、语音片段、照片等)。然而,该应用程式也可让人在装置上自动储存内容,而其磁碟通常并未加密。因此,如果任何使用者决定储存或备份未加密的内容,便可从他们的装置存取这些资料。
- 后设资料收集。通讯内容虽安全无虞,但 WhatsApp 会收集该次通讯的相关资料,包括IP位址、时间、应用程式上的活动持续时间,以及可能将 WhatsApp 使用者与他们其他 Meta 帐户(Faceboo k和 Instagram)联系起来的识别资讯。2024年初,一份报告揭露国家行动者已存取此类资料追踪嫌疑人。
给记者的建议
- 手动删除敏感内容。手动删除任何与敏感活动相关的内容。确保资料已从应用程式和所有与该帐户连结的装置中删除,因每部装置都会个别储存各项内容的副本。
- 使用限时讯息。您可设定在特定时间后自动删除聊天内容。此功能虽为自动删除敏感讨论内容的实用工具,但请注意限时讯息仍会储存在连接的装置上,且任何“限时”内容皆可先储存、复制和转寄以避免遭到删除。
- 将多媒体内容设定为阅后即焚。顾名思义,设为“阅后即焚”的内容只能检视一次。此设定适用于影片、照片和语音讯息,但不适用于文字内容。这些讯息只能在手机上开启、须于传送后14天内检视,且无法以任何传统方式储存或转寄。然而,WhatsApp 指出此功能存在某些限制和规避手段。
- 加密 WhatsApp 内容储存。确保任何使用 WhatsApp 的装置将相关资料(影像、语音讯息、聊天记录等)储存在加密或有密码保护的资料夹中。如资料储存于网络空间,我们建议记者建立加密的备份帐户。如有可能,请使用全磁碟或全设备加密。
- 切勿拨打陌生号码。有些骗局会诱骗使用者拨打具有人机介面的号码。此举可让恶意人士将来电转接至自己的装置,并用此将验证码发送给自己,最终控制受害者的 WhatsApp 帐户。
- 使用最新版本的 WhatsApp。WhatsApp 的频繁更新多用于改善其安全功能。因此,建议记者一律使用最新版本的WhatsApp,过期版本可能仍能运作,但会带来更多的安全漏洞。
- 开启双重验证(2FA)。WhatsApp 拥有双重认证(或称双步骤验证)功能,可使用六位数的PIN码锁定应用程式,因此,即使记者的装置在遭窃后为他人存取,此功能也可保护其中所含资讯。
本文是关于通讯应用程式的系列文章之一:
