如果您必需使用 WhatsApp:这里是减少伤害的办法 - iYouPort
如果您必需使用 WhatsApp:这里是减少伤害的办法
- WhatsApp 不是被推荐的工具,但是如果您的重要联系人关系一时无法全面转移,请按照本指南中的解释更改您的操作习惯,以减轻危险
世界各地的活动家和记者都在使用 WhatsApp 来传播和分享敏感的人权和政治信息。
虽然 WhatsApp 不是最安全的选择,但我们认为周知关于此应用程序的减少危害提示非常重要。
WhatsApp 太受欢迎了,但 WhatsApp 缺少一些重要的功能,正如我们在下面讨论的那样 —— ⚠️ 如果你没有正确使用它,就有可能会让你自己和他人都处于危险之中。
WhatsApp 为个人和团体启用了端到端加密。这意味着理论上消息的内容只能由撰写和接收消息的双方阅读,而不是中间的任何人 —— 包括执法人员,他们可能会向 WhatsApp 提供合法的数据请求。
但是, 有许多方法可以使这种加密失败 。
1、安全是一个社区问题
首先,无论您自己的安全性有多大,您也需要始终依赖于与您沟通的其他人的安全性 —— 当然同时他们也依赖于您。
在这里看到《 做到安全所需要的思考方式 》
就如我们在行动技巧中提到过的, 重要的是要与他人讨论安全问题,并考虑你们中谁的风险可能性比较高、以及如何对他们采取特别照顾 。(这里有行动技巧系列的 过往回顾 )
例如,您可以 定期删除 可能从团队其他人那里收到的消息、视频和图像,甚至可以使用 代码名称 保存其联系信息(只有你知道“猫一只”代表的人是谁),从而保护特别易受攻击的联系人(如 社区领导者)的身份。
您可能还希望为群组成员 签订安全协议 。这对于彼此了解的群体/社区非常有用,尤其是对于较大的公共群体来说,您值得尝试。
要注意协议不能令人感觉困难。不能是排斥性的或竞争性的;团队的凝聚力和协作积极性对行动来说是非常重要的。
💡您可以通过在每次新人加入小组时发送欢迎消息,来表达您想要的安全期望。
如果您是包括记者在内的小组的成员,您可以包含有关记者可以如何与小组成员互动的确切说明。
您还可以包含有关添加新成员的过程的要求、有关删除旧信息的期望,以及有关您在群组中将要说什么或不会说什么的协议。例如这样:
欢迎来到我们的社区组织!……如果未经至少三名其他成员联合批准,请不要添加任何新成员;请及时删除发送超过3天的信息和媒体内容,尤其是视频;请不要在 WhatsApp 消息中使用云备份;请不要讨论该群组中任何成员的实际地理位置 —— 安全是团结才能实现的。感谢你的理解!……
当然这是最简单的一个例子,您可以加入更多,一定要注意尽可能简洁易于所有人操作;并且,您自己还需要 准备planB ,关于:如果有任何成员没有遵守规则,您应该如何处理。
这一规则在任何加密通讯群组中都适用。
2、明确元数据
虽然 WhatsApp 可能无法直接访问您发送的内容,但他们仍会收集使用者的信息,这些信息可以说明您是谁、您的朋友和社区都是谁、您将去哪里、以及您何时使用该应用。
目前还不完全清楚 WhatsApp 可以访问的内容具体都有哪些,但他们的“执法机构信息”页面指出,⚠️ 他们可以向执法部门提供 “姓名、开始使用该服务的日期、最近一次查看的日期、IP地址、和电子邮件地址”、以及“用户正在阻止或已经阻止的号码、还有 “简介信息、个人资料照片、群组信息、和地址簿”。
而且,一位记者查看了美国的法院材料,并发现了警方 对位置数据的要求 。
事实上,正如 Himanshu Gupta 和 Harsh Taneja 在2018年8月的一篇文章中 指出的那样,“WhatsApp 使用加密哈希(每个文件唯一的加密文本)唯一标识每个附件,每当下载附件被“转发”时,WhatsApp 会检查其服务器上是否已存在具有相同加密哈希的文件;
如果答案是肯定的,WhatsApp 不会将文件从用户手机上传到服务器,而是将存储在其服务器上的文件副本直接发送给最终收件人;
这表明 WhatsApp 可以指向驻留在其服务器上的特定文件,尽管端到端加密。”
⚠️必须明确这点以便理解 WhatsApp 的隐私氛围。
您有必要启用独立的“角色”来参与 WhatsApp 上的敏感交流,在这里看到方法《 分裂人格的魅力 》;《 角色扮演:行动者刚需 》
3、时刻记得 Facebook 与 WhatsApp 相关联
WhatsApp 是“Facebook 家族”的一部分。2016年,WhatsApp 改变了服务条款 ,请注意:那时开始它会“将你的手机号码与 Facebook 系统连接起来”。
由于通用数据保护条例,WhatsApp 在欧盟国家有一些特殊限制,但在全球其他地方,这种数据共享似乎已经到位。
这意味着 WhatsApp 上的联系人可以 —— 并且很可能已经 —— 被分析并与 Facebook 上的联系人建立了联系。
图:联系人 https://twitter.com/DonEvansWm/status/1141662534459514880
WhatsApp 的 隐私政策 中有明确说明您的信息可被用于制作 “产品建议(例如,朋友或社交关系、或感兴趣的内容推荐)。”
这意味着如果您与某人同在 WhatsApp 小组中,可能就会被建议作为 Facebook 上的联系人。
尤其是您参与的是行动团体的话,这会非常危险。
⚠️避免这种追踪的方法是:确保您注册 WhatsApp 的电话号码与 Facebook 完全无关;并且确保您的手机上没有 Facebook 应用程序。
方法详见《 4款最佳一次性手机号码应用:适用 Android & iPhone 》;《 如何建立一个匿名 Facebook 账户以保护个人数据的私密性? 》;《 如何不暴露手机号、不花钱,实现双因素身份验证? 》
如果您已经与 Facebook 共享了手机号码、或在手机上安装了 Facebook 应用程序,那么您唯一的选择可能是使用完全不同的手机号码注册 WhatsApp 账户,教程在上面。
请注意 WhatsApp 无法选择退出 此信息共享。
4、关于物理安全
数字安全和物理安全是一回事,WhatsApp 就是一个很好的例子。
⚠️不论是拦路搜查、还是在群体事件现场突袭,执法部门通常会强迫人们打开 WhatsApp 允许警方查看内容和联系人。
不要认为他们看一眼就结束了。⚠️ 因为这些信息很快会被用于进一步骚扰其他活动家或边缘社区的成员。
最佳做法是在备份任何重要内容后定期删除 WhatsApp 消息。
您可以设定在发送消息后的一个小时内从所有人的手机中删除信息,选择“Delete for everyone”。
还要考虑保留或传输您在本地导出或备份的数据所带来的物理安全风险。
⚠️并考虑加密您的设备,这是很重要的;尽管,如果您遭受身体暴力而被迫交出密码的可能性也存在 。
具体做法详见《 指南:当您准备参加抗议活动… 》
5、您真的知道您正在联系的人是谁吗?验证联系人
首先,在这里使用常识很重要。
在大型 WhatsApp 群组中,您可能会遇到从未谋面的人。
使用您可以用来确定某人是谁的常规方法,例如 询问某个群组的管理员、或在 Facebook 等其他地方使用开源调查的基本方法搜索,看看您是否与该人有共同的熟人。
⚠️这一点尤为重要,因为 WhatsApp 确实存在安全漏洞 ,允许有权访问 WhatsApp 服务器的人加入未经邀请的账户进入团体。
如果您正在与一个大型团队中自称为记者的人打交道,请事先在线搜索他们、或向他们索取他们撰写的报道的链接,或其他证明性信息。
一般来说,了解某人是谁的最佳方式是亲自与他们会面。当然,也许有些时候不方便,那么下一个最好的方法就是与值得信赖的熟人交流。如果可信的人推荐也可以认为是可靠的。
一旦你确定认识某人,最好能确保你实际上正在联系这个人。
WhatsApp 端到端加密使用“密钥”来验证您获得的消息是否真的来自该人。
当这种方法有效的时候它可以是一个非常强大的系统。但是,您需要一些重要的方法可以保证它确实有效。
首先,您可以通过验证密钥来验证您是否从正确的人那里收到了消息。
查看 EFF 对 Android 或 iOs 上的 WhatsApp 密钥安全性的精彩说明 —— 只需一分钟。
一旦验证了某人的密钥,您还应该打开安全通知,如果有人“更改了他们的密钥”会收到提示。
当人们在新手机上重新安装 WhatsApp 时会发生这种情况,但是,⚠️这也可能意味着有人试图模仿您的联系人对您钓鱼。因此,如果您收到该消息提醒,应通过其他渠道(如语音呼叫/另一个加密通信)对对方进行核实。
此外,别忘了去年的披露:全球一流间谍机构英国政府通信总部(GCHQ)信号情报部门的两名官员设计了一个可以解决棘手问题的“建议”,即 如何拦截端到端的加密通信 — — 而不会从表面上看到加密被破坏或削弱的结果。在这里看到 《 英国间谍如何对端对端加密开刀 》。
这强调了验证的重要性。
6、不要使用云备份绕过端到端加密
不论是 Android 还是 iOs,不要启用自动云备份。
虽然这些备份在 Google 或 Apple 的服务器上进行了加密,但是 第三方存储本身会使应用程序中的端到端加密变得毫无意义。
因为 Google、Apple 会遇到警方的合法强制要求(参见 棱镜文件 )、并且以其他方式获取访问权限的人也都可以阅读、下载或分析您的 WhatsApp 消息(比如骇客)。
Apple 会向执法部门提供 iCloud 数据,Google 也会回应当权者的数据请求 。
如果使用云备份,当遇到法院命令和传票的时候您就失去了保护。而且你可以完全不知道为什么。
对于那些使用 WhatsApp 来处理敏感问题或与边缘化社区进行沟通的人来说,这些被第三方存储的消息、视频、图像、联系方式和详细的网络信息是一个重要的安全和隐私风险。
如果您不想备份 WhatsApp,而是希望记录您的聊天记录和媒体视频以便用于日后问责或仅仅保存,则可以将其导出并保存在应用程序之外 。
WhatsApp 去年进行了两项更改。其中一个更改是,WhatsApp 和谷歌将为 Android 用户提供无限制的免费存储 WhatsApp 备份在 Google 云端硬盘上,而不会计入您在 Google 云端硬盘上的存储空间配额。
虽然这可能很诱人,但是,如上所述,将此内容存储在 Google 云端硬盘上首先会破坏端到端加密的重点。
我们强烈建议用户不要使用 Google Drive for WhatsApp 备份。
相反,您可以使用手机上的文件管理器查找 WhatsApp 本地备份,您也可以使用我们即将发布的指南从应用程序中获取聊天内容和媒体内容。
最后
首先,WhatsApp 应该设置定时清除,这意味着应该可以在发送一段时间后自动彻底删除消息。这意味着您可以减少对他人良好安全卫生的依赖。
其次,WhatsApp 应该允许用户随时选择退出与 Facebook 的数据共享。这减少了不必要的关联的危险。
同样,WhatsApp 应该简单地对用户呈现它都收集了哪些元数据,以便用户可以对自己如何使用该应用程序做出明智的选择。
第三,WhatsApp 应该为备份启用“零知识”加密,这意味着这些备份仍然只能为用户读取。
如果 WhatsApp 做不到这些,它至少应该提供更清晰的应用内警告,清楚地表明 iCloud 和 Google 备份的加密程度与端到端加密保护的不同。
总之,WhatsApp 不是推荐的工具,但是它的用户量 太大了,很多人尤其是 敏感人士和记者非常依赖该应用程序;于是我们作出以上建议,希望您能通过本指南了解自己面临的风险,并选择合适的建议更改您的操作模式。⚪️
文章版权归原作者所有。