安装在iPhone手机上的应用程序。(图片来源:Getty Images)
【看中国2025年3月31日讯】(看中国记者高芸编译/综合报导)你的手机通讯应用,可能并不像你以为的那样安全。美国国家安全局(NSA)日前发布警告,提醒数以百万计的iPhone与Android用户注意:真正的风险往往来自用户自身的使用习惯,而不是应用本身的加密技术。
虽然这则警告源于川普(特朗普)时期的政府官员误将一名记者加入敏感群组,引发外界将矛头指向Signal。此前,《大西洋月刊》(The Atlantic)主编杰弗瑞‧戈德堡(Jeffrey Goldberg)报导称,他被沃尔兹加入一个Signal群聊,该群聊中官员们讨论了对也门胡塞叛军的攻击计划。
但NSA明确表示,问题不在于软件漏洞,而是用户设置不当。此次通知的核心是一个简单建议:立即检查并调整消息设置。
据《福布斯》报导,NSA的警告发布于上月,起因是谷歌威胁情报小组发现,俄罗斯军事情报总局(GRU)正诱导乌克兰官员打开Signal账户访问权限,从而实施监听。这并非Signal系统漏洞,应用本身运行正常。谷歌还警告称,类似风险同样存在于WhatsApp、Telegram等主流通讯应用中。
本次曝光的风险主要集中在两个功能上:群组邀请链接(Group Links)与设备绑定(Linked Devices)。这两项功能虽然提升了用户便利性,却也成为安全隐患的入口。
群组邀请链接:允许用户通过发送链接邀请他人加入群聊,省去手动添加的步骤。这个功能的风险相对有限,仅影响该特定群组。在Signal中可通过设置关闭邀请链接;在WhatsApp中则建议避免在敏感群组使用该功能,并将添加权限限定为管理员。
设备绑定功能:风险更高。它允许在其他设备上同步运行你的通讯应用,一旦遭人滥用,可能在未经授权的设备上建立消息镜像。不过,该风险同样可控。用户可在“已绑定设备”设置中查看已连接的设备,发现陌生设备应立即解除绑定。如有疑虑,也可先解除再决定是否重新添加。
此外,俄罗斯的攻击手法也暴露出一个关键问题:•他们通过劫持群组邀请链接,将其用于设备绑定。这并非应用漏洞,而是链接设计上的问题。好消息是,这类非法绑定操作仍会在设置中显示,因此定期检查已绑定设备是防范关键。同时建议,浏览器网页版链接应定期解除并重新绑定,避免潜在风险。
NSA的建议:养成良好的信息安全习惯
NSA还提出了一系列基本的信息安全建议,包括:
• 设置并定期更换通讯应用的PIN码;
• 启用屏幕锁;
• 不要向非联系人公开状态信息或电话号码;
• 国防部另建议:将手机联系人与应用内联系人分开管理,尽管这在实际使用中可能略显不便。
许多用户对“端对端加密”存在误解。虽然它可以保障传输过程中的数据安全,但每个端点(也就是你和对方的手机)仍可能因设备被攻破、内容被保存,或群组误加成员而导致信息泄露。只要用户设置不当,所有加密机制都可能失效。
Signal频繁成为媒体焦点,是因为它在政府与政治圈广泛使用。除了NSA,美国网络安全与基础设施安全局(CISA)在中国“盐风暴”(Salt Typhoon)攻击事件后也曾发出类似警告,呼吁政府人员使用Signal或同类提供端对端加密保障的免费应用。
WhatsApp功能更新 安全问题依旧存在
与NSA警告几乎同步,WhatsApp也宣布推出新功能:允许iPhone用户将其设置为默认的短信与通话应用。这一功能现已陆续上线。用户只需前往“设置-应用”,选择“默认应用”,即可切换短信与通话平台。
不过,这项更新并未解决核心问题:设备与用户设置仍是加密通讯的最大漏洞。《外交政策》称:“监听Signal对话的最大风险,仍来自安装该应用的手机本身。”目前尚不清楚涉事美国官员使用的是私人手机还是政府配发设备,但智能手机作为消费级产品,本质上并不适合处理国家机密通讯。
如今已有完整的间谍软件产业,向愿意出价的国家出售可远程入侵智能手机的技术。今年以来,iPhone与Android系统都遭遇了多起“取证级”黑客攻击。因此,用户除了正确设置应用外,还应及时更新系统、避免安装高风险App,更不能点击来历不明的链接或附件。
尽管Signal在此次事件中成为关注焦点,真正面临更大隐患的却是WhatsApp。《金融时报》(Financial Times)称:“当今职场几乎已被WhatsApp统治,这并非完全是件好事。”
早在疫情前,许多职场人士便已开始将WhatsApp用于工作沟通,使原本属于社交的空间逐渐被工作信息渗透。不过,美国是少数尚未被WhatsApp全面占领的市场,iMessage一直占据主导。但这种情况也在改变。Meta去年宣布,WhatsApp美国用户已突破1亿人。
《金融时报》评论称:“有那么一刻,向上司发WhatsApp消息、附上点赞表情不再显得越界,在当时显得合情合理。但几年之后,这种工作与社交的界线似乎正在被彻底打破。”
Signal与WhatsApp争做“最安全”
Signal门事件(Signalgate)也引发了Signal与WhatsApp之间关于“谁更安全”的公开争论。在WhatsApp负责人威尔・卡斯特卡特(Will Cathcart)强调两款应用使用相同加密协议后,Signal负责人梅雷迪思・惠特克(Meredith Whittaker)回应称:“Signal是私人通讯的黄金标准。”
她表示,虽然WhatsApp使用Signal的加密协议来保护用户信息,但这不适用于企业通讯。“我们欢迎WhatsApp使用我们的技术,这正是Signal的使命之一,推动整个科技行业提升隐私水平。但我们之间确实存在关键差异,公众有权知晓,而不是被模糊的营销话术所误导。”
更具讽刺意味的是,就在《大西洋月刊》(The Atlantic)披露政府内部Signal群组被记者意外加入的几天前,WhatsApp官方在社交平台X发文提醒:“作为群组管理员,你是否允许群成员邀请其他人加入群聊?”简短一句话,仿佛预告了即将到来的风波。
虽然尚不清楚最终是谁将杰弗里・戈德堡加入了群组,但事件暴露的问题再明显不过:群组邀请链接本身就是一项高风险功能,需要严肃对待。
无论使用Signal还是WhatsApp,两者在设计上都具备良好的加密机制。但前提是:你必须正确使用。如果设置失误、系统未更新、点击了不明链接,再强大的加密也无法保护你的隐私。
请听从NSA的建议:设置安全、保持警惕、定期检查。你的工作计划、私人事务,甚至国家机密,都应受到更好的保护。
来源:看中国
短网址: 版权所有,任何形式转载需本站授权许可。 严禁建立镜像网站.
【诚征荣誉会员】溪流能够汇成大海,小善可以成就大爱。我们向全球华人诚意征集万名荣誉会员:每位荣誉会员每年只需支付一份订阅费用,成为《看中国》网站的荣誉会员,就可以助力我们突破审查与封锁,向至少10000位中国大陆同胞奉上独立真实的关键资讯,在危难时刻向他们发出预警,救他们于大瘟疫与其它社会危难之中。
