微信能看你的聊天記錄嗎?
專家稱僅技術上可以, 騰訊方面表示絕不會觸碰用戶的通信秘密;駭客稱盜號才能查看聊天記錄
近日, 吉利控股集團董事長李書福一則“馬化騰肯定天天在看我們的微信”的言論引發公眾對於微信資訊安全保護的爭議。
新京報記者查閱微信“隱私服務協定”發現, 其採用了SSL加密技術保護資訊安全, 多位元互聯網專家表示, 採用該種技術時, 伺服器方是可以查看資訊內容的。 據一位接近騰訊的相關人士解釋, 因為這個技術是通用的, 任何用這個技術的公司從技術層面都可以做,
“微信不存儲、不分析使用者聊天內容的技術模式, 傳言中所說‘我們天天在看你的微信’純屬誤解。 ”1月4日, 騰訊方面回復新京報記者。
移動安全業內人士分析稱, 微信採取SSL加密技術, 就確保了傳輸過程中的加密, 即便遭到駭客攻擊, 也難竊取使用者資訊。 多名互聯網黑產從業者稱, 只有盜取目標的微信或QQ帳號, 才能夠查看其聊天記錄。
技術能否保證微信“不看聊天內容”?
針對騰訊方面對用戶隱私的回應, 有不少公眾更加關心微信在技術上能否實現查看聊天記錄。
滬江法務林華表示, 從QQ時代到如今的微信, 圍繞著用戶對個人隱私的擔憂, 都不可避免有信任問題, 因為使用者和服務商本來就是資訊不對稱。
新京報記者查閱《微信隱私保護指引》發現, 其“資訊安全”一欄中表示“我們將在安全水準內使用各種安全保護措施以保障資訊的安全。 例如, 我們會使用加密技術(例如, SSL)、匿名化處理等手段來保護你的個人資訊。 ”
SSL技術指Secure Socket Layer, 南洋理工大學互聯網相關專業博士後朱聰(化名)解釋稱, 簡單來說, 在經過SSL加密的情況下, 使用者與使用者之間收發資訊通過伺服器後臺中轉, 當資訊在使用者和伺服器之間傳遞時, 用戶與伺服器會協商一個用於加密資料的金鑰, 由於該金鑰的存在, SSL會保證在資料傳輸中不被竊聽和篡改, 但消息在伺服器上則是以未加密的形態存在的, 伺服器可以查看和修改消息的內容, 甚至進行一些內容上的審查。
“使用數位憑證(SSL)加密的話, 就是本地加密傳到伺服器, 伺服器再解密, 駭客在中間截取下來肯定是不好解密的, 但作為伺服器端的微信肯定可以。 ”網路安全專家劉海(化名)表示。
1月4日, 新京報記者向騰訊方面求證相關技術問題, 騰訊並未回應。 騰訊稱, 微信一直堅持保護用戶的通信隱私, 絕不會去觸碰、去算計用戶的通信秘密。 “這是我們的產品理念, 也是我們的底線。 微信聊天記錄, 僅用於微信手機端的本地搜索和展示, 不做任何其他用途。 從微信伺服器後臺無法提取任何人的聊天記錄。 ”
2017年8月15日, 騰訊副總裁丁珂曾對新京報記者明確表示, 微信的價值導向是從來不會涉及使用者相互聊天, 並明確表示,
駭客能盜取你的聊天記錄嗎?
移動安全業內人士分析稱, 微信採取SSL加密技術, 這就確保了傳輸過程中的加密, 也就是說在傳輸過程中, 即便遭到駭客攻擊, 也沒法竊取使用者資訊。
一位互聯網公司的架構工程師告訴新京報記者, 微信傳輸採用SSL加密, 僅依靠技術手段在傳輸過程中破解SSL加密“幾乎不可能”, 除非某些機構違規簽發HTTPS證書, 但微信的證書信任應該都是只信任自己的根證書簽發的SSL證書, 所以不存在這樣的問題。 這樣一來, 資訊在傳遞的過程中被人截取存留是不可能的, 從技術上, 只有微信官方可以。
那麼, 如果微信伺服器端遭受攻擊呢?
梆梆安全高級副總裁付傑分析稱, SSL加密保證的是傳輸過程安全。
《微信隱私保護指引》中稱, “若發生個人資訊洩露等安全事件, 我們會啟動應急預案, 組織安全事件擴大, 並以推送通知、公告等形式告知。 ”
不過, 微信的加密技術並非走在前列。 據朱聰介紹, 目前較為先進的加密技術是端到端技術。 與SSL不同的是, 端對端加密的通訊方式中, 只有終端持有金鑰, 而負責傳遞資訊的伺服器僅作為媒介不能解密資訊, 軟體後臺也無法知道使用者之間到底聊了什麼。 換言之,駭客攻擊軟體後臺也沒有用。
根據IT媒體IPN在2017年7月19日統計的資料,包括微信、LINE、Telegram、WhatsApp等在內的國際主流聊天軟體中,LINE和WhatsApp均默認端到端加密,Telegram為“選擇性端到端加密”,微信則沒有採用端到端加密。
查看聊天記錄為何“能做但不會做”?
1月4日,對於騰訊採用SSL技術,是否會讀取使用者聊天記錄,一位元接近騰訊的相關人士解釋,這個技術是通用的,任何用這個技術的公司從技術層面都可以做,但是不會做。
《中華人民共和國憲法》第四十條規定:中華人民共和國公民的通信自由和通信秘密受法律的保護。除因國家安全或者追查刑事犯罪的需要,由公安機關或者檢察機關依照法律規定的程式對通信進行檢查外,任何組織或者個人不得以任何理由侵犯公民的通信自由和通信秘密。
而《中華人民共和國刑法》第253條“侵犯公民個人資訊罪”明確規定,“違反國家有關規定,向他人出售或者提供公民個人資訊,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金。”
滬江法務總監林華表示,“加密技術不可能遮罩窺視,但對用戶隱私的保護,實際上是騰訊必須守住的底線”。
如同當下各行各業都在普及的公有雲服務,公有雲上的資料,服務商有能力看,但是為了嚴守公信力,保護使用者隱私,服務商依然是不能看的。
丁珂曾表示,“除了國家監管的策略,我們價值導向是不會涉及使用者相互聊天,即使email系統存儲轉發,但微信沒有記錄。只在以下特別的情況,第一種,明確國家司法說,違法需要協查,微信有能力,會根據國家法律在之後有介入。第二,國家明確要求的多人群,配合方。運營商都會有國家合規要求。第三,如果你在飛機上,資訊沒收到,微信為了確保你能收到資訊,會存儲轉發,收到之後沒有留底。”
對於丁珂此前提到的多人群監管要求,付傑分析,在國家監管要求下存儲的多人群資訊也是在伺服器上加密存儲的,理論上管理員可查看,但是公司裡很少有人有這個許可權來查看。
《微信隱私保護指引》表示,“我們建立專門的管理制度、流程和組織以保障資訊的安全。例如,我們嚴格限制訪問資訊的人員範圍,要求他們遵守保密義務,並進行審計。”
該條款還指出,微信不會主動共用或轉讓使用者的個人資訊至協力廠商,如存在其他共用或轉讓使用者的個人資訊情形時,微信方面會征得用戶的明示同意。
從對用戶隱私保護的法律層面看,林華認為,中國隱私保護的規定不見得比歐美少,不過歐美多以法律和判例規定隱私權,中國在民法典等法律對隱私權有原則規定,主要是靠部門規章規定,級別比法律低,但這些都是互聯網主管部門,實施效果反而比法律好。
來源 / 新京報
編輯 / 武兵
換言之,駭客攻擊軟體後臺也沒有用。根據IT媒體IPN在2017年7月19日統計的資料,包括微信、LINE、Telegram、WhatsApp等在內的國際主流聊天軟體中,LINE和WhatsApp均默認端到端加密,Telegram為“選擇性端到端加密”,微信則沒有採用端到端加密。
查看聊天記錄為何“能做但不會做”?
1月4日,對於騰訊採用SSL技術,是否會讀取使用者聊天記錄,一位元接近騰訊的相關人士解釋,這個技術是通用的,任何用這個技術的公司從技術層面都可以做,但是不會做。
《中華人民共和國憲法》第四十條規定:中華人民共和國公民的通信自由和通信秘密受法律的保護。除因國家安全或者追查刑事犯罪的需要,由公安機關或者檢察機關依照法律規定的程式對通信進行檢查外,任何組織或者個人不得以任何理由侵犯公民的通信自由和通信秘密。
而《中華人民共和國刑法》第253條“侵犯公民個人資訊罪”明確規定,“違反國家有關規定,向他人出售或者提供公民個人資訊,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金。”
滬江法務總監林華表示,“加密技術不可能遮罩窺視,但對用戶隱私的保護,實際上是騰訊必須守住的底線”。
如同當下各行各業都在普及的公有雲服務,公有雲上的資料,服務商有能力看,但是為了嚴守公信力,保護使用者隱私,服務商依然是不能看的。
丁珂曾表示,“除了國家監管的策略,我們價值導向是不會涉及使用者相互聊天,即使email系統存儲轉發,但微信沒有記錄。只在以下特別的情況,第一種,明確國家司法說,違法需要協查,微信有能力,會根據國家法律在之後有介入。第二,國家明確要求的多人群,配合方。運營商都會有國家合規要求。第三,如果你在飛機上,資訊沒收到,微信為了確保你能收到資訊,會存儲轉發,收到之後沒有留底。”
對於丁珂此前提到的多人群監管要求,付傑分析,在國家監管要求下存儲的多人群資訊也是在伺服器上加密存儲的,理論上管理員可查看,但是公司裡很少有人有這個許可權來查看。
《微信隱私保護指引》表示,“我們建立專門的管理制度、流程和組織以保障資訊的安全。例如,我們嚴格限制訪問資訊的人員範圍,要求他們遵守保密義務,並進行審計。”
該條款還指出,微信不會主動共用或轉讓使用者的個人資訊至協力廠商,如存在其他共用或轉讓使用者的個人資訊情形時,微信方面會征得用戶的明示同意。
從對用戶隱私保護的法律層面看,林華認為,中國隱私保護的規定不見得比歐美少,不過歐美多以法律和判例規定隱私權,中國在民法典等法律對隱私權有原則規定,主要是靠部門規章規定,級別比法律低,但這些都是互聯網主管部門,實施效果反而比法律好。
來源 / 新京報
編輯 / 武兵