俄罗斯VK、Telegram创始人Pavel Durov文章:为什么WhatsApp永远不会安全
俄罗斯VK、Telegram创始人Pavel Durov文章:为什么WhatsApp永远不会安全
WhatsApp将任何手机都变成间谍软件的消息似乎令全世界震惊。你手机上的一切,包括照片、电子邮件和短信,都可以被攻击者访问,因为你安装了WhatsApp的[1]。
但这个消息并没有让我感到惊讶。去年WhatsApp不得不承认他们有一个非常相似的问题——通过WhatsApp的一个视频通话就足以让黑客访问你的手机的全部数据[2]。
每当WhatsApp不得不修复其应用程序中的一个关键漏洞时,一个新的漏洞似乎就会出现在它的位置上。他们所有的安全问题都非常适合监视,而且看起来和工作起来都很像后门。
与Telegram不同的是,WhatsApp不是开源软件,因此安全研究人员无法轻松检查其代码中是否存在后门。WhatsApp不仅不发布自己的代码,还故意混淆应用程序的二进制代码,以确保没有人能够彻底研究它们。
WhatsApp及其母公司Facebook甚至可能被要求实施后门——通过联邦调查局(FBI)的禁言令[3]等秘密程序。运行一个来自美国的安全通信应用程序并不容易。2016年,我们的团队在美国呆了一周,FBI4进行了3次渗透尝试。想象一下,在这种环境下,10年的时间能给一家总部位于美国的公司带来什么。
我理解安全机构将设置后门作为反恐努力的理由。问题是这样的后门也可能被罪犯和独裁政府利用。难怪独裁者们似乎喜欢WhatsApp。WhatsApp缺乏安全保障,允许他们监视自己的用户,因此WhatsApp继续在俄罗斯或伊朗等地免费提供服务,而这些地方的Telegram是被[6]禁止的。
事实上,我开始拍Telegram是为了直接回应来自俄罗斯当局的个人压力。2012年,WhatsApp还在传输纯文本信息。这是疯狂的。不仅是政府或黑客,移动提供商和wifi管理员都可以访问WhatsApp的所有文本7。
后来WhatsApp添加了一些加密功能,这很快被证明是一种营销策略:至少有几个国家的政府获得了解密信息的密钥,包括俄罗斯的[9]。后来,随着Telegram开始流行起来,WhatsApp的创始人将公司卖给了Facebook,并宣称“隐私是他们的基因”。如果是真的,那一定是一个休眠基因或隐性基因。
3年前,WhatsApp宣布他们实现了端到端加密,因此“没有第三方可以访问消息”。与此同时,谷歌还积极推动所有用户在云中备份聊天记录。在推出这款应用时,WhatsApp没有告诉用户,当备份时,信息不再受端到端的加密保护,黑客和执法人员可以访问这些信息。出色的营销,和一些天真的人正在监狱服刑的结果[11]。
那些足够有弹性、不会被不断弹出的通知备份聊天记录的弹出窗口所迷惑的人,仍然可以通过一些技巧来跟踪他们——从访问联系人的备份到更改不可见的加密密钥[12]。WhatsApp用户生成的元数据——描述与谁聊天、何时聊天的日志——被WhatsApp的母公司[13]大量泄露给各种机构。最重要的是,一系列的关键漏洞相继出现。
WhatsApp有着一贯的历史——从最初的零加密到一系列奇怪地适合监控目的的安全问题。回顾过去,在WhatsApp 10年的发展历程中,没有哪一天这项服务是安全的。这就是为什么我不认为仅仅更新WhatsApp的移动应用程序就能让它对任何人都安全。WhatsApp要想成为一项以隐私为导向的服务,就必须冒着失去整个市场并与所在国政府发生冲突的风险。他们似乎还没有为[14]做好准备。
去年,WhatsApp的创始人出于对用户隐私[15]的担忧而离开了公司。他们肯定受到禁言令或保密协议的约束,因此无法在不冒失去财产和自由的风险的情况下公开讨论后门问题。然而,他们不得不承认,“他们出卖了用户的隐私”。
我能理解WhatsApp创始人不愿提供更多细节的原因——让你的舒适处于危险之中并不容易。几年前,由于拒绝遵守政府批准的侵犯VK用户[17]隐私的规定,我不得不离开我的国家。这并不令人愉快。但我还会这样做吗?很乐意。我们每个人最终都会死去,但作为一个物种,我们会坚持一段时间。这就是为什么我认为积累金钱、名望或权力是无关紧要的。从长远来看,为人类服务是唯一真正重要的事情。
然而,尽管我们的意图,我觉得我们让整个WhatsApp间谍软件故事的人性失望。很多人无法停止使用WhatsApp,因为他们的朋友和家人还在使用。这意味着我们Telegram在说服用户切换方面做得很糟糕。虽然我们在过去五年吸引了数亿用户,但这还不够。大多数互联网用户仍被Facebook/WhatsApp/Instagram帝国挟持。许多使用Telegram的用户也在使用WhatsApp,这意味着他们的手机仍然容易受到攻击。甚至那些完全抛弃WhatsApp的人也可能在使用Facebook或Instagram,他们都认为用纯文本18存储密码是可以的(我仍然无法相信一家科技公司能做这样的事情,然后侥幸逃脱惩罚)。
Telegram成立近6年来,从未出现过WhatsApp每隔几个月就会出现的那种重大数据泄露或安全漏洞。在同样的6年里,我们向第三方披露的数据完全是零字节的,而Facebook/WhatsApp几乎与所有声称为政府[13]工作的人分享了所有内容。
Telegram粉丝圈子以外的人很少意识到,大多数短信的新功能都是先出现在Telegram上,然后被WhatsApp复制到最细微的细节。最近,我们看到Facebook试图借用Telegram的整个理念,扎克伯格突然宣布隐私和速度的重要性,实际上是在F8的演讲中逐字逐句引用Telegram的应用描述。
但抱怨FB的虚伪和缺乏创造力也无济于事。我们必须承认Facebook正在执行一项有效的战略。看看他们对Snapchat[20]做了什么。
在Telegram,我们必须认识到我们在创造未来方面的责任。要么是美国,要么是Facebook的垄断。要么是自由和隐私,要么是贪婪和虚伪。在过去的13年里,我们的团队一直在与Facebook竞争。我们已经在东欧社交网络市场[21]击败了他们一次。我们将在全球信息市场再次击败他们。我们必须。
这并不容易。Facebook的营销部门非常庞大。然而,我们Telegram不做任何营销。我们不想付钱给记者和研究人员,让他们向世界讲述电报。为此,我们依靠你们——我们数以百万计的用户。如果你喜欢电报,你会把它告诉你的朋友。如果每个Telegram用户都能说服他们的3个朋友删除WhatsApp并永久转到Telegram, Telegram将会比WhatsApp更受欢迎。
贪婪和伪善的时代将会终结。一个自由和隐私的时代将开始。它比看起来要近得多。