《細究WeChat》這四篇系列文章探討中國社群應用程式 WeChat 及其國內版「微信」的複雜性和所造成威脅。在這篇文章中,無國界記者(RSF)將概述兩者的主要特徵,並為記者提供使用上的建議。
WeChat(及國內版的「微信」)是中國科技公司騰訊開發的應用程式,現為全球第二大通訊軟體。WeChat 提供簡訊、社群媒體、支付、瀏覽網頁等功能,過去十年已成為中國人生活中不可或缺的一部分。對記者來說,當他們要和身處中華人民共和國境內的消息來源聯絡時,WeChat 是相當重要的工具。然而 WeChat 使用起來根本不安全,並且經常被中國政府用來審查和監視。本篇文章將簡介 WeChat 及其功能,並提供使用者自我保護的相關建議。
安全和監控問題
- 加密和安全缺陷。這兩款應用程式使用的是傳輸加密 (EiT),允許伺服器層級的解密,和 Signal、WhatsApp 等平台使用的端到端加密 (更加安全) 形成強烈對比。WeChat 過去多次爆出資料外洩,暴露使用者敏感資訊 (姓名、身份證號、電話號碼和地址等) ,種種違規行為都凸顯平台安全措施不足,使用者隱私也存在潛在風險。
- 政府監督和審查。這兩款應用程式都在中國政府嚴格的監視和審查制度下運作。母公司騰訊已與共產黨建立穩固關係,協助政府對通訊廣泛監控和控制,其中包括即時審查文字和圖像,以及對語音通話、視訊的監控。值得注意的是,政府經常在使用者不知情的情況下取得他們的通訊內容,導致使用者因看似微不足道的罪行面臨法律訴訟。
全球威脅
- 國內和國際業務的界線變得模糊。騰訊在2013年曾試圖將國際版的 WeChat 和國內版的微信區分開來,表面上是為了保護國際版使用者,避免他們受到中國政府的監視和審查。然而,兩者之間的區分並不如表面上那麼清楚。WeChat 和微信的核心功能和底層架構仍相互連結,表示軟體的監視和審查能力並不限於中國境內。這樣的整合意味著只要涉及微信使用者的跨國通訊皆屬中國管轄,即便是在中國境外使用 WeChat 的人也會受到影響。
- 資料儲存和管轄權問題。國際版使用者的某些資料(包括 APP 內翻譯功能發送的訊息和網頁瀏覽記錄)儲存在中國的伺服器,並受中國法律管轄。如此一來無論使用者身在何處,都可能被中國當局監視、存取資料。
安全使用建議
- 使用次要設備。記者應在不含任何敏感、可識別身分資訊的次要設備上操作WeChat,次要設備物理上和電子上都應和其他設備完全隔絕。
- 增強匿名性。記者應使用非中國手機號碼註冊以增加匿名性,避免將 WeChat 連到任何私人社群媒體帳戶或使用實名。
- 落實高度安全做法。使用者應在下載 WeChat 後限制應用程式的權限,將安全設定改到最高規格,使用獨一無二的強密碼,保持謹慎,不要輕易接受陌生人的好友請求。
- 使用加密通訊。傳輸敏感檔案時,應事先在其他設備加密再透過 WeChat 或微信寄送。收件者必須透過不在 APP 上的其他安全管道接收解密金鑰。
→ 閱讀 第一章:微信與 WeChat —可怕的雙胞胎
→ 閱讀 第二章:中國的微信——老大哥正看著你
→ 閱讀 第三章:中國送出境外的特洛伊木馬 WeChat
→ 閱讀 第四章:給使用 WeChat 與微信記者的安全建議
本文由 Bence Kócsi 共同撰寫。Bence Kócsi 為資深自由編輯、作家、研究員,長期關注資安、科技、歷史語言學、政治、醫學等各種主題。
本文由 Ben Finn 共同撰寫。Benjamin Finn 來自美國休士頓,在 IT 領域已有十年資歷,期間主要工作為協助大型企業部署內部資安工具,包含提升網路安全的措施。
