安裝在iPhone手機上的應用程序。(圖片來源:Getty Images)
【看中國2025年3月31日訊】(看中國記者高芸編譯/綜合報導)你的手機通訊應用,可能並不像你以為的那樣安全。美國國家安全局(NSA)日前發布警告,提醒數以百萬計的iPhone與Android用戶注意:真正的風險往往來自用戶自身的使用習慣,而不是應用本身的加密技術。
雖然這則警告源於川普(特朗普)時期的政府官員誤將一名記者加入敏感群組,引發外界將矛頭指向Signal。此前,《大西洋月刊》(The Atlantic)主編傑弗瑞‧戈德堡(Jeffrey Goldberg)報導稱,他被沃爾茲加入一個Signal群聊,該群聊中官員們討論了對葉門胡塞叛軍的攻擊計畫。
但NSA明確表示,問題不在於軟體漏洞,而是用戶設置不當。此次通知的核心是一個簡單建議:立即檢查並調整消息設置。
據《福布斯》報導,NSA的警告發布於上月,起因是谷歌威脅情報小組發現,俄羅斯軍事情報總局(GRU)正誘導烏克蘭官員打開Signal賬戶訪問許可權,從而實施監聽。這並非Signal系統漏洞,應用本身運行正常。谷歌還警告稱,類似風險同樣存在於WhatsApp、Telegram等主流通訊應用中。
本次曝光的風險主要集中在兩個功能上:群組邀請鏈接(Group Links)與設備綁定(Linked Devices)。這兩項功能雖然提升了用戶便利性,卻也成為安全隱患的入口。
群組邀請鏈接:允許用戶通過發送鏈接邀請他人加入群聊,省去手動添加的步驟。這個功能的風險相對有限,僅影響該特定群組。在Signal中可通過設置關閉邀請鏈接;在WhatsApp中則建議避免在敏感群組使用該功能,並將添加許可權限定為管理員。
設備綁定功能:風險更高。它允許在其他設備上同步運行你的通訊應用,一旦遭人濫用,可能在未經授權的設備上建立消息鏡像。不過,該風險同樣可控。用戶可在「已綁定設備」設置中查看已連接的設備,發現陌生設備應立即解除綁定。如有疑慮,也可先解除再決定是否重新添加。
此外,俄羅斯的攻擊手法也暴露出一個關鍵問題:•他們通過劫持群組邀請鏈接,將其用於設備綁定。這並非應用漏洞,而是鏈接設計上的問題。好消息是,這類非法綁定操作仍會在設置中顯示,因此定期檢查已綁定設備是防範關鍵。同時建議,瀏覽器網頁版鏈接應定期解除並重新綁定,避免潛在風險。
NSA的建議:養成良好的信息安全習慣
NSA還提出了一系列基本的信息安全建議,包括:
• 設置並定期更換通訊應用的PIN碼;
• 啟用屏幕鎖;
• 不要向非聯繫人公開狀態信息或電話號碼;
• 國防部另建議:將手機聯繫人與應用內聯繫人分開管理,儘管這在實際使用中可能略顯不便。
許多用戶對「端對端加密」存在誤解。雖然它可以保障傳輸過程中的數據安全,但每個端點(也就是你和對方的手機)仍可能因設備被攻破、內容被保存,或群組誤加成員而導致信息泄露。只要用戶設置不當,所有加密機制都可能失效。
Signal頻繁成為媒體焦點,是因為它在政府與政治圈廣泛使用。除了NSA,美國網路安全與基礎設施安全局(CISA)在中國「鹽風暴」(Salt Typhoon)攻擊事件後也曾發出類似警告,呼籲政府人員使用Signal或同類提供端對端加密保障的免費應用。
WhatsApp功能更新 安全問題依舊存在
與NSA警告幾乎同步,WhatsApp也宣布推出新功能:允許iPhone用戶將其設置為默認的簡訊與通話應用。這一功能現已陸續上線。用戶只需前往「設置-應用」,選擇「默認應用」,即可切換簡訊與通話平臺。
不過,這項更新並未解決核心問題:設備與用戶設置仍是加密通訊的最大漏洞。《外交政策》稱:「監聽Signal對話的最大風險,仍來自安裝該應用的手機本身。」目前尚不清楚涉事美國官員使用的是私人手機還是政府配發設備,但智能手機作為消費級產品,本質上並不適合處理國家機密通訊。
如今已有完整的間諜軟體產業,向願意出價的國家出售可遠程入侵智能手機的技術。今年以來,iPhone與Android系統都遭遇了多起「取證級」黑客攻擊。因此,用戶除了正確設置應用外,還應及時更新系統、避免安裝高風險App,更不能點擊來歷不明的鏈接或附件。
儘管Signal在此次事件中成為關注焦點,真正面臨更大隱患的卻是WhatsApp。《金融時報》(Financial Times)稱:「當今職場幾乎已被WhatsApp統治,這並非完全是件好事。」
早在疫情前,許多職場人士便已開始將WhatsApp用於工作溝通,使原本屬於社交的空間逐漸被工作信息滲透。不過,美國是少數尚未被WhatsApp全面佔領的市場,iMessage一直佔據主導。但這種情況也在改變。Meta去年宣布,WhatsApp美國用戶已突破1億人。
《金融時報》評論稱:「有那麼一刻,向上司發WhatsApp消息、附上點讚表情不再顯得越界,在當時顯得合情合理。但幾年之後,這種工作與社交的界線似乎正在被徹底打破。」
Signal與WhatsApp爭做「最安全」
Signal門事件(Signalgate)也引發了Signal與WhatsApp之間關於「誰更安全」的公開爭論。在WhatsApp負責人威爾.卡斯特卡特(Will Cathcart)強調兩款應用使用相同加密協議後,Signal負責人梅雷迪思.惠特克(Meredith Whittaker)回應稱:「Signal是私人通訊的黃金標準。」
她表示,雖然WhatsApp使用Signal的加密協議來保護用戶信息,但這不適用於企業通訊。「我們歡迎WhatsApp使用我們的技術,這正是Signal的使命之一,推動整個科技行業提升隱私水平。但我們之間確實存在關鍵差異,公眾有權知曉,而不是被模糊的營銷話術所誤導。」
更具諷刺意味的是,就在《大西洋月刊》(The Atlantic)披露政府內部Signal群組被記者意外加入的幾天前,WhatsApp官方在社交平臺X發文提醒:「作為群組管理員,你是否允許群成員邀請其他人加入群聊?」簡短一句話,彷彿預告了即將到來的風波。
雖然尚不清楚最終是誰將傑弗里.戈德堡加入了群組,但事件暴露的問題再明顯不過:群組邀請鏈接本身就是一項高風險功能,需要嚴肅對待。
無論使用Signal還是WhatsApp,兩者在設計上都具備良好的加密機制。但前提是:你必須正確使用。如果設置失誤、系統未更新、點擊了不明鏈接,再強大的加密也無法保護你的隱私。
請聽從NSA的建議:設置安全、保持警惕、定期檢查。你的工作計畫、私人事務,甚至國家機密,都應受到更好的保護。
来源:看中國
短网址: 版權所有,任何形式轉載需本站授權許可。 嚴禁建立鏡像網站。
【誠徵榮譽會員】溪流能夠匯成大海,小善可以成就大愛。我們向全球華人誠意徵集萬名榮譽會員:每位榮譽會員每年只需支付一份訂閱費用,成為《看中國》網站的榮譽會員,就可以助力我們突破審查與封鎖,向至少10000位中國大陸同胞奉上獨立真實的關鍵資訊, 在危難時刻向他們發出預警,救他們於大瘟疫與其它社會危難之中。
