《細究WeChat》這四篇系列文章探討中國社群應用程式 WeChat 及其國內版「微信」的複雜性和所造成威脅。在這篇文章中,無國界記者(RSF)將介紹此應用程式微信版的相關安全及隱私風險。
微信集通訊應用程式、社群媒體平台和會議應用程式於一身,在中國居民的生活中隨處可見。此應用程式不僅提供數位通訊、網路銀行、遊戲等各種服務,甚至已在全國多地取代現金支付。
為在受到嚴密控制的中國市場上營運,WeChat 主動與中國的審查和安全機構合作,因而成為政府用來監控人民的工具。因此,記者和活動人士應盡量避免使用此平台或至少謹慎操作,切勿用其分享敏感資訊。
安全性極其不足
- 無端到端加密。微信對資料安全的處理一直有所不足,主因為該應用程式依賴傳輸中加密(EiT)而非更安全的端到端加密(E2EE)。此方式使訊息在傳抵應用程式伺服器時可能遭到監控和篡改,嚴重損害使用者隱私。
- 對駭客的防護不足。過去發生的資料外洩事件突顯出微信易遭受外部威脅。例如,安全研究員 Victor Gevers 在2019年揭露一起大規模資料洩露事件,共有3.64億個微信帳戶受到影響,其 IP 位址和 GPS 位置等敏感個人資料因此外流。此事突顯出該平台持續面臨的安全挑戰。
- 前所未有的大規模個資收集。微信的設計整合多種功能,可管理大量未加密的個人資料,其中包括註冊時強制要求提供的 ID,這些資料全部依照政府的指示儲存於中國伺服器上。這種資料集中化方式大幅降低政府存取和濫用個資的難度。
北京的耳目
- 強迫使用者向政府分享資料。在微信條款及其營運所依據、涵蓋範圍更大的法律體系下,使用者需與中國政府分享大量資料,包括文字甚至語音訊息、影像和其他資料。
- 嚴格執行政府的審查政策。微信因受中國政府監督而嚴格執行其審查政策。中國政府定期發送冗長清單,列出希望通訊平台審查的詞彙和用語。其中為人所知的禁忌內容包括批評習近平、小熊維尼、法輪功、新疆集中營或提及天安門大屠殺,但遭到審查的內容遠不止於此。
- 自動刪除訊息和回報。含有違禁內容的訊息傳抵伺服器時,微信會使用工具自動將其刪除。微信也使用暗中封鎖(shadow-banning)這種方法封鎖敏感或批判性內容,而不通知傳訊者對方並未收到訊息。
記者及其消息來源的主要風險
- 帳戶可能遭任意停用。平台可以定義模糊的「國家安全」、「社會秩序」、「謠言」或「異端」為由,自行決定暫時或永久停用使用者帳號。這可能妨礙記者的工作,使他們無法在中國最大的社群媒體應用程式上宣傳自己的文章,並切斷記者與中國境內某些消息來源的溝通管道,有時這是雙方唯一的聯繫途徑。
- 刑事訴訟經常使用微信使用者資料。在平台上發表幽默諷刺言論或任何對政府的批評者皆遭受過重量刑,包括入獄和罰款。例如,一名山東省的使用者只因在2017年為習近平取綽號「習包子」便被判刑22個月。同年,一名公開批評司法制度的律師被取消律師資格並遭控危害國安。
- 所分享資訊也可能使消息來源面臨危險。媒體工作者及其消息來源在微信上交流敏感資訊時都將面臨危險:由於個人識別資訊(PII)在未加密的情況下傳輸並儲存於微信伺服器上,中國政府可存取相關資訊並用來對付他們。
← 閱讀: 簡介社群軟體 WeChat、微信
← 閱讀 第一章:微信與 WeChat —可怕的雙胞胎
→ 閱讀 第三章:中國送出境外的特洛伊木馬 WeChat
→ 閱讀 第四章:給使用 WeChat 與微信記者的安全建議
本文由 Bence Kócsi 共同撰寫。Bence Kócsi 為資深自由編輯、作家、研究員,長期關注資安、科技、歷史語言學、政治、醫學等各種主題。
本文由 Ben Finn 共同撰寫。Benjamin Finn 來自美國休士頓,在 IT 領域已有十年資歷,期間主要工作為協助大型企業部署內部資安工具,包含提升網路安全的措施。
