隱私通訊軟體揭秘：Telegram 沒有你想像的那麼安全

Telegram 一直以來都是加密貨幣愛好者主要的通訊軟體之一，而在香港爆發反送中條例後，亞洲用戶也有更多人注意到這款軟體，甚至連慈濟基金會也在臉書上號召師兄師姐轉移到 Telegram ，降低 Line 改版後的成本負擔。不過 Telegram 真的有那麼安全嗎 ?

Telegram 由於在 2018 年進行了兩輪總額高達 17 億鎂的私募，因此 ABM 在先前也發布了許多關於 Telegram 在代幣發行方面的最新報導。本篇則是對其訊息傳遞的安全性進行探討。

用戶數

Telegram 在 2013 年由俄羅斯企業家 Pavel Durov 和他的兄弟 Nikolai（著名電腦科學家）共同開發，主要依靠 Durov 自己的資金來營運。

Telegram 在 2018 年 3 月時達到 2 億月活躍用戶，約佔當時 WhatsApp 用戶群的 13％ 。去年 3 月時 Telegram 報告指出，在 24 小時內，由於 Facebook Messenger、Instagram 和 WhatsApp 均受到臨時性中斷，因此新用戶暴增了 300 萬。

此外，去年由於香港反送中抗議遊行越演越烈，Telegram 在當時也成為香港下載量最大的應用程序之一。

安全性

Telegram 將自己定義為安全強度極高的通訊應用程序，但與 WhatsApp 和 iMessage 不同， Telegram 在默認情況下並沒有加密。用戶必須選擇「私密聊天」功能以確保只有訊息發送者、接收者才能讀取，而且群聊無法加密。

也就是說，發送者傳送訊息時為加密，而接收者收到訊息時為解密，不會在 Telegram 伺服器留下任何痕跡。但是即使有此功能，某些專家也認為 Telegram 的加密在基礎上存在缺陷。該軟體使用自己的專有協議 MTProto ，且不受外部密碼學家的審查。

此外在 2016 年時，伊朗駭客曾入侵 Telegram ，造成 1,500 萬名伊朗用戶的電話號碼曝光，是目前最大的加密通訊軟體漏洞。

面對質疑聲浪，Telegram 的發言人 Markus Ra 在其 Blog 表示:

目前並不存在破壞 MTProto 加密的已知方式，其協議規範、應用程序代碼也已開源，能讓各界研究人員全面評估其端到端加密的框架，以及對其安全性的審查。

更重要的是，據《香港自由新聞》指出，包含 Telegram 在內等上述通訊軟體，透過綁定電話號碼來註冊帳號的方式，才是容易出現隱私漏洞的地方。

其他方案

不同於 Telegram 需要手動設定私密聊天，WhatsApp、iMessage 和 Signal 均使用端對端加密。其協議也已被許多專業密碼學家認同。

此外，Signal 持續探索使元數據暴露最小化的方式，即使在訊息被攔截的情況下，也能保護發送者的身份。

WhatsApp 表示，對元數據進行加密將使其對「未經授權的網路觀察者」保持隱蔽，Telegram 則是在其服務條款中表示，可能會收集 IP 地址和設備等元數據，數據最多將保留 12 個月。

值得注意的是，雖然聊天內容經過加密，但聊天備份可能沒有加密。如蘋果的 iCloud 僅承諾對「某些敏感訊息」進行端對端加密。而蘋果強調，只有公司本身才擁有 iCloud 數據的加密密鑰。