《细究WeChat》这四篇系列文章探讨中国社群应用程式 WeChat 及其国内版“微信”的复杂性和所造成威胁。在这篇文章中,无国界记者(RSF)将介绍此应用程式微信版的相关安全及隐私风险。
微信集通讯应用程式、社群媒体平台和会议应用程式于一身,在中国居民的生活中随处可见。此应用程式不仅提供数字通讯、网络银行、游戏等各种服务,甚至已在全国多地取代现金支付。
为在受到严密控制的中国市场上营运,WeChat 主动与中国的审查和安全机构合作,因而成为政府用来监控人民的工具。因此,记者和活动人士应尽量避免使用此平台或至少谨慎操作,切勿用其分享敏感资讯。
安全性极其不足
- 无端到端加密。微信对资料安全的处理一直有所不足,主因为该应用程式依赖传输中加密(EiT)而非更安全的端到端加密(E2EE)。此方式使讯息在传抵应用程式伺服器时可能遭到监控和篡改,严重损害使用者隐私。
- 对骇客的防护不足。过去发生的资料外泄事件突显出微信易遭受外部威胁。例如,安全研究员 Victor Gevers 在2019年揭露一起大规模资料泄露事件,共有3.64亿个微信帐户受到影响,其 IP 位址和 GPS 位置等敏感个人资料因此外流。此事突显出该平台持续面临的安全挑战。
- 前所未有的大规模个资收集。微信的设计整合多种功能,可管理大量未加密的个人资料,其中包括注册时强制要求提供的 ID,这些资料全部依照政府的指示储存于中国伺服器上。这种资料集中化方式大幅降低政府存取和滥用个资的难度。
北京的耳目
- 强迫使用者向政府分享资料。在微信条款及其营运所依据、涵盖范围更大的法律体系下,使用者需与中国政府分享大量资料,包括文字甚至语音讯息、影像和其他资料。
- 严格执行政府的审查政策。微信因受中国政府监督而严格执行其审查政策。中国政府定期发送冗长清单,列出希望通讯平台审查的词汇和用语。其中为人所知的禁忌内容包括批评习近平、小熊维尼、法轮功、新疆集中营或提及天安门大屠杀,但遭到审查的内容远不止于此。
- 自动删除讯息和回报。含有违禁内容的讯息传抵伺服器时,微信会使用工具自动将其删除。微信也使用暗中封锁(shadow-banning)这种方法封锁敏感或批判性内容,而不通知传讯者对方并未收到讯息。
记者及其消息来源的主要风险
- 帐户可能遭任意停用。平台可以定义模糊的“国家安全”、“社会秩序”、“谣言” 或“异端”为由,自行决定暂时或永久停用使用者帐号。这可能妨碍记者的工作,使他们无法在中国最大的社群媒体应用程式上宣传自己的文章,并切断记者与中国境内某些消息来源的沟通管道,有时这是双方唯一的联系途径。
- 刑事诉讼经常使用微信使用者资料。在平台上发表幽默讽刺言论或任何对政府的批评者皆遭受过重量刑,包括入狱和罚款。例如,一名山东省的使用者只因在2017年为习近平取绰号“习包子”便被判刑22个月。同年,一名公开批评司法制度的律师被取消律师资格并遭控危害国安。
- 所分享资讯也可能使消息来源面临危险。媒体工作者及其消息来源在微信上交流敏感资讯时都将面临危险:由于个人识别资讯(PII)在未加密的情况下传输并储存于微信伺服器上,中国政府可存取相关资讯并用来对付他们。
← 阅读: 简介社群软体 WeChat、微信
← 阅读 第一章:微信与 WeChat —可怕的双胞胎
→阅读 第三章:中国送出境外的特洛伊木马 WeChat
→ 阅读 第四章:给使用 WeChat 与微信记者的安全建议
本文由 Bence Kócsi 共同撰写。Bence Kócsi 为资深自由编辑、作家、研究员,长期关注资安、科技、历史语言学、政治、医学等各种主题。
本文由 Ben Finn 共同撰写。Benjamin Finn 来自美国休士顿,在 IT 领域已有十年资历,期间主要工作为协助大型企业部署内部资安工具,包含提升网络安全的措施。
