【直报网北京1月8日讯】(新京报)日前,吉利控股集团副总长李书福一则“马化腾肯定天天在看我们的微信”的言论引起公众对于微信信息安全保护的争议。
新京报记者查阅微信“隐私服务协议”发现,其运用了SSL加密科技保护信息安全,多位互联网专家表示,采用该种科技时,服务器方是可以查看信息内容的。据一位接近腾讯的相关专家解释,因为这个技术是通用的,任何用这个科技的公司从技术层面都可以做,但是不会做。
“微信不存储、不探讨用户聊天内容的科技方式,传言中所说‘我们每天在看你的微信’纯属误解。”1月4日,腾讯方面回复新京报记者。
移动安全业内专家预测称,微信采取SSL加密技术,就保证了存储过程中的加密,即便遭遇黑客攻击,也难窃取用户信息。多名互联网黑产从业者称,只有盗取目标的微信或QQ账号,才无法查看其聊天记录。
技术能够保证微信“不看聊天内容”?
随着微信“可以查看聊天记录”事件发酵,1月2日,腾讯公司公关经理张军在个人微博上否认称,“1、微信不留存任何客户的聊天记录,聊天内容只存储在客户的相机、电脑等终端设施上;2、微信不会将客户的任何聊天内容用于大数据预测。了解了,就不用有这些没来由的担忧了。”
对于腾讯方应对客户隐私的否认,有不少公众非常关心微信在科技上能够推动查看聊天记录。
沪江法务林华表示,从QQ时代到目前的微信,围绕着客户对个人隐私的担心,都不可导致有认同问题,因为客户和服务商原本就是信息不对称。
新京报记者查阅《微信隐私保护指引》发现,其“信息安全”一栏中表示“我们将在安全水平内使用各类安全保护机制以保障信息的安全。例如,我们会使用加密科技(比如,SSL)、匿名化处理等方式来保护你的个人信息。”
SSL技术指SecureSocketLayer,南洋理工学院互联网相关专业博士后朱聪(化名)解释称,简单来说,在经过SSL加密的状况下,用户与客户之间收发信息通过服务器后台中转,当信息在客户和服务器之间释放时,用户与服务器会协商一个用于加密数据的秘钥,由于该密码的存在,SSL会确保在数据存储中不被窃听和窃取,但消息在服务器上则是以未加密的形态存在的,服务器可以查看和设置消息的内容,甚至进行一些内容上的审查。
“使用数字证书(SSL)加密的话,就是本地加密传到服务器,服务器再解读,黑客在后面截取出来肯定是不好解密的,但成为服务器端的微信肯定可以。”网络安全人士刘海(化名)表示。
1月4日,新京报记者向腾讯方面求证相关科技问题,腾讯并未否认。腾讯称,微信仍然坚持保护客户的通信隐私,绝不会去触碰、去算计用户的通信秘密。“这是我们的产品模式,也是我们的底线。微信聊天记录,仅用于微信手机端的本地搜索和展现,不做任何其它功能。从微信服务器后台无法提取任何人的聊天记录。”
2017年8月15日,腾讯董事裁丁珂曾对新京报记者明确表示,微信的价值导向是从来不会涉及客户互相聊天,并明确表示聊天记录查看 黑客,微信不会读取、分析聊天记录。
黑客能盗取你的聊天记录吗?
移动安全业内专家预测称,微信采取SSL加密技术,这就保证了存储过程中的加密,也就是说在传输过程中,即便遭遇黑客攻击,也无法泄露用户信息。
1月2日到3日,新京报记者以“购买微信和QQ聊天记录”为名联系了多名互联网黑产从业者,但受到的反馈多为只有采用暴力破解、种木马等方式盗取目标的微信或QQ账号,才无法查看其聊天记录,但这种一来号主可以看到自己帐号被盗,且盗号成本很大。
一位互联网公司的架构项目师告诉新京报记者,微信传输采取SSL加密,仅借助科技方式在存储过程中破解SSL加密“几乎不可能”,除非这些机构非法签发HTTPS证书,但微信的证书信任应该都是只认同自己的根证书颁发的SSL证书,所以不存在这种的弊端。这样一来,信息在释放的过程中被人截取存留是不可能的,从技术上,只有微信官方可以。
那么,如果微信服务器端遭受伤害呢?
梆梆安全高级主任裁付杰分析称,SSL加密确保的是存储过程安全。多位互联网安全专家都强调,据她们所知,微信是独立服务器,SSL加密之下,微信要避免的是服务端的信息泄露,SSL加密技术能避免存储过程中泄密,但是针对服务端聊天记录查看 黑客,微信似乎是有一套很完整的保护方案,包括网络防御过滤、主机防护、漏洞评估等等。
《微信隐私保护指引》中称,“若出现个人信息泄露等安全事故,我们会开展应急预案,组织安全事件扩大,并以推送通知、公告等方式告知。”
只是,微信的加密科技只是走在前列。据朱聪介绍,目前较为先进的加密科技是端到端技术。与SSL不同的是,端对端加密的通信手段中,只有终端持有密钥,而负责释放信息的服务器仅成为媒介不能解读信息,软件后台也能够了解客户之间究竟聊了哪些。换言之,黑客攻击工具后台也没有用。
根据IT媒体IPN在2017年7月19日统计的数据,包括微信、LINE、Telegram、WhatsApp等在内的国际主流聊天软件中,LINE和WhatsApp均默认端到端加密,Telegram为“选择性端到端加密”,微信则没有采取端到端加密。
查看聊天记录为何“能做但不会做”?
1月4日,对于腾讯采用SSL技术,是否会抓取用户聊天记录,一位接近腾讯的相关专家解释,这个科技是通用的,任何用这个科技的公司从技术层面都可以做,但是不会做。
《中华人民共和国宪法》第四十条规定:中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全以及惩处刑事犯罪的必须,由我们机关以及检察机关根据法律要求的程序对通信进行检测外,任何组织以及个人不得以任何原因侵犯公民的通信自由和通信秘密。
而《中华人民共和国刑法》第253条“侵犯公民个人信息罪”明确要求,“违反国家有关条例,向对方出售以及提供公民个人信息,情节严重的,处五年以下有期判刑或者罚金,并处以及单处罚金;情节非常严重的,处五年以上十年以下有期判刑,并处罚金。”
沪江法务部长林华表示,“加密技术不可能屏蔽窥视,但对用户隐私的保护,实际上是腾讯必须坚守的底线”。
如同现今各行各业都在普及的公有云服务,公有云上的数据,服务商有素质看,但是为了遵守公信力,保护客户隐私,服务商仍然是不能看的。
丁珂曾表示,“除了国家管控的思路,我们价值导向是不会涉及客户互相聊天,即使email系统存储转发,但微信没有记录。只在下面尤其的状况,第一种,明确国家司法说,违法需要协查,微信有能力,会按照国家法律在后来有介入。第二,国家确立要求的多人群,配合方。运营商都会有国家合规规定。第三,如果你在飞机上,信息没收到,微信为了保证你能收到信息,会存储转发,收到后来没有留底。”
针对丁珂此前提到的多人群监管规定,付杰分析,在国家管控要求下存储的多人群信息只是在服务器上加密传输的,理论上管理员可查看,但是公司里极少有人有这个权限来查看。
《微信隐私保护指引》表示,“我们构建专门的管控机制、流程和组织以保障信息的安全。例如,我们严格限制访问信息的人员范围,要求他们违反保密义务,并进行审计。”
该条款还强调,微信不会主动共享或出售客户的个人信息至第三方,如存在其它共享或出售客户的个人信息情形时,微信方面会未经用户的明示同意。
从对用户隐私保护的法律层面看,林华认为,中国隐私保护的要求不见得比欧美少,不过欧美多以法律和判例要求隐私权,中国在民法典等法律对隐私权有方法要求,主要是靠部门规章条例,级别比法律低,但这种都是互联网主管部门,实施效果似乎比法律好。