PDA

View Full Version : 如何安全使用微信



Unregistered
24-10-13, 07:26
微信官方网站宣传其是超过三亿人使用的手机应用。但是微信对用户隐私的保护做的如何呢?我们如何能在微信上 保持匿名呢?


微信官方对隐私和政府要求的解释


根据其使用条款:
用户所传播的信息相关的任何法律责任由用户自行承担。
用户不得利用腾讯微信或腾讯微信服务制作、上载、复制、发送如下内容:
危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
损害国家荣誉和利益的;
....
含有法律、行政法规禁止的其他内容的信息。
腾讯公司有权依法停止传输任何前述内容,并有权依其自行判断对违反本条款的任何人士采取适当的 法律行动, 包括但不限于并且依据法律法规保存有关信息并向有关部门报告等.
用户同意个人隐私信息是指那些能够对用户进行个人辨识或涉及个人通信的信息,包括下列信息:用户真实姓名, 身份证号,手机号码,IP地址。

令人疑惑的是,在中文版的隐私保护条款并没有提及微信收集的地理位置信息和手机通讯录信息。而这些信息在英 文版本中清清楚楚列了出来。以下是英文条款的中文翻译
地理位置信息:你的地理位置信息短期内会被我们的服务器储存。如果你提出删除要求,我们会人工删除你的地理 位置信息。

手机通讯录信息:...你的手机通讯录会加密保存在由腾讯管理的服务器上。储存的信息会和你的微信帐号相关 联。...

因为微信在中文版隐私政策对地理位置信息和手机通讯录信息避而不谈,我们不知道微信是否将其当作隐私信息处 理。但即使微信认定这是隐私信息,服务条款中也明文写道,腾讯可以在法律或有法律赋予权限的政府部门要求 或用户同意等原因的情况下披露个人隐私。

该中文版协议适用于中华人民共和国法律,英文版协议则适用于香港特别行政区法律。但大家不要忘记,雅虎香港 控股有限公司曾自愿向中国大陆政府提供了用户邮件,导致用户入狱。所以我们必须假定在接到中国政府的命令后 ,无论在哪种协议下,微信收集的所有信息都能被政府获取到。


微信对于聊天信息的审查


因为每个微信帐号都需要手机号验证后才能注册,而手机号一般和真实身份是联系在一起的,这样基本上每个微信 用户都自动实名了。更不要说登陆时候记录的IP地址 了。手机通讯录匹配功能会将手机上所有联系人的信息上传到腾讯服务器:摇一摇功能会将设备的当前地理位 置上传到腾讯服务器。微信不仅有文本还有语音通话功 能,因为文本语音数据在离线后对方还是接受,文本语音数据一定也是被上传到腾讯服务器上的。所有这些数据, 根据腾讯的使用条款,都是能被中国政府调取的。 虽然我们没有专门针对微信的分析,但是我们可以通过Tom-Skype在中国的审查来推测微信的审查。Tom-Skype与微信在中国的审查处境非常相似:国际版Skype是没有审查的,国际版的微信腾讯也不想进行审 查,虽然腾讯曾经因为技术故障审查 了国际版。

TOM-Skype用户,或者与TOM-Skype用户通讯的Skype用户的全部文字聊天消息,会被定期扫描敏感的关键词,如果找到关键词,所产 生的数据将被上传并存储在中国的服务器上。
这些文字聊天消息,以及包含个人信息的记录数以百万计。它们被存储在不安全,却可公开访问的Web服务器。 对加密数据进行解密的密钥也被储存在这种服务器上。
被捕获的消息包含特定关键字、敏感的政治议题如台湾独立,法轮功,反对中国共产党。
我们的分析表明,监控不完全是因关键字引起的。许多被捕捉消息包含了日常用语,这表明审查可能有其他标准( 比如特定的用户名)来确定信息是否被捕获。

由此推测,国内版本微信之间通信,或海外和国内版之间的通信都是能被政府调取的。海外版和海外版本之间的通 信则看腾讯的良心了。此外网上确实有腾讯审查关键字和中国政府监听微信对话的报道。

因为国外的加密软件都不支持微信,惟一让微信进行点对点加密通信的办法是使用外部的加密软件(比如PGP加 密)然后复制到微信中发送。然而这种办法让微信便捷性荡然无存。


匿名注册使用微信


因此本文着重介绍如何匿名的传播信息。 因为在微信上保持匿名步骤繁多,而且信息本身并不保密(只是匿名),我们不建议想和朋友安全交流的人使用微 信。 以下教程是推荐给想在微信上传播信息的人使用的。

1)匿名注册微信号码。
因为直接注册微信帐号需要手机验证,我们推荐通过代理注册QQ号码或者Facebook帐号后用这些帐号登 陆微信。 因为要保持匿名,我们需通过VPN来访问QQ注册网页。推荐使用第三个邮箱帐号注册。邮箱使用一次性邮箱( http://www.mailinator.com). 这个网页左上角有显示邮箱的域名,比如spamherelots.com. 然后我们可以随便取邮箱名,比如apaoad.然后在注册QQ帐号的时候填写apaoad@spamher elots.com。当腾讯发送验证邮件后我们在 左上角 Check your Inbox 里面填写apaoad@spamherelots.com,点击Go,就能收取腾讯的验证邮件了。点击验证 邮件里面的链接,我们会被定向到腾讯的网页,会 有申请成功以及对应QQ号码。 记录下这个号码,以后就可用这个号码登陆微信。

2)隐藏IP地址
因 为微信会记录IP地址,我们在使用微信帐号的时候必须时刻连接VPN。我们这里以iPhone的VPN设置 为例子。注意,因为iPhone系统自带只支持 L2TP和PPTP VPN,而这两种VPN若因为网络问题断开,系统会自动切换到直接连接而暴露真实IP地址。所以我们必须使 用OpenVPN. OpenVPN的App Store下载地址是https://itunes.apple.com/us/app/openvpn-connect/id590379981?mt=8 有OpenVPN帐号的同学可以填写后重新连接。注意:iPhone版本的OpenVPN并不支持所有Op enVPN链接,部分VPN提供商比如privateinternetaccess没有被兼容。 没有帐号的同学只能上网购买了,大部分VPN都是收费的。

3)隐藏其他个人信息
前 文写道,微信还会收集你的联系人信息,地理位置,照片等。当微信应用要求访问这些信息的时候,都点击拒绝。 这样微信没有办法获取相关信息了。缺点是你也没法使用微信摇一摇。当然如果你的iPhone是越狱的话 ,你可以在Cydia里面下载伪造地理位置的插件来达到相同的目的。

如果你使用语音功能,你的声音还是会被上传到腾讯服务器上。如果你认为你的声音就能暴露你真实身份的话(比 如你是著名人权活动家),那么也请不要使用语音功能。 图片传输和文本聊天功能同理。

4)防止帐号混用
如 果你在同一个设备上使用前文所创建的匿名帐号,又使用能追查到真实身份的个人帐号,请阅读本节。iOS有U DID(惟一识别码),任何App都有权限读取UDID. 如果你在同一台设备上用匿名微信帐号登陆、登出、再登陆你的个人帐号,微信有可能知道这两个帐号在同一台设 备上登陆,从而追查到你的身份。

如 果你非要在同一款设备上混用两种帐号,你必须越狱后在Cydia里面安装UDID FAKER。每次用不同帐号登陆时,伪装成不同的UDID。 苹果在今年5月1日起,不再允许提交的应用使用UDID. 但是苹果提供了其他的办法让应用能识别用户来自同一个设备,所以为了保险起见,不要在同一个设备上使用两种 帐号。

另外,登陆个人帐号的时候,不要使用VPN,防止腾讯通过IP地址来交叉查询。


微信替代方案


如果你想和朋友安全的交流,而不是想扩散信息,请使用其他聊天软件。 以下几款软件都能保证信息安全保密。但如果警察物理获取到你的设备,或者相关公司服从法庭判决从而交出数据 的话,你的信息还是可能会泄露) 能在移动设备上替代微信。

1. iMessage 这个不用多说,是ios自带能代替短信的软件,如果双方都是ios系统且有网络,设备会自动使用iMess age发送。普通短信都能被电信/移动/联通扫描关键字并记录,iMessage默认加密传输。

2. Gmail,Hotmail 以上两个邮箱都支持https,在移动端上支持imap,且所有通讯都默认加密。在移动段上设置Push推 送功能后,只要有网络(3G,2G,Wifi), 新邮件会实时提醒,可以达到短信的效果。Gmail的推送需下载客户端,不知道什么原因,Gmail客户端 在中国App Store没有上架,你可能需要其他任何国家的帐号来下载。Hotmail在ios里设置后会默认自动启用 推送。

3. WhatsApp 微信其实最开始是模仿这个软件的。这个软件目前在各大智能机上都有客户端,并且支持中文,一次性收费$0. 99。

Percy Alpha是GreatFire.Org计划的共同创办人,他揭露并反击中国互联网审查。他协同管理推特@ GreatFireChina。

https://zh.greatfire.org/blog/2013/5%E6%9C%88/%E5%A6%82%E4%BD%95%E5%AE%89%E5%85%A8%E4%BD%BF%E7%9 4%A8%E5%BE%AE%E4%BF%A1