棱镜门和脸书用户的信息泄露，随着这两个世纪事件的爆发，国外网民对信息安全的关注比以往任何时候都多。甚至网民们也疯狂地在谷歌上搜索最好的加密软件。

不仅在国外，在国内，最近各种信息安全法陆续颁布，“国资云”工程的启动，预示着数据安全时代的到来。个人隐私和商业秘密逐渐成为通讯软件关注的焦点。所以网友也空永远学习各种信息安全知识，以便选择更好的加密聊天软件。边肖调查了13款国外通信软件，从不同的安全标准和维度进行了比较和评估。

这13款应用分别是:谷歌消息、苹果iMessage、Facebook Messenger、Element(原Riot)、Signal、微软Skype、Telegram、Threema、Viber、WhatsApp、Wickr Me、Wire和Session。(本文中关于各大app的数据和信息主要来自母公司官网和不同社交媒体(包括securemessagingapps、tom's guide、techradar、ZDNet、卡巴斯基、AVG)提供的资料)

1.母公司管辖的基础设施:

在这13款软件中，分母公司大部分属于美国、英国和澳大利亚，其中超过70%的公司来自美国。基础设施的布局主要在美国，辐射到世界各地。虽然Viber的母公司分别是日本和卢森堡，但部署地点仍然是美国。只有Threema的母公司和基础设施位于瑞士。

2.与情报机构的合作:

虽然这些通讯软件公司不是国有企业，但仍有五家公司向情报部门提供了用户数据(谷歌消息、苹果iMessage、Facebook Messenger、微软Skype和WhatsApp)。

3.内置监控功能:

使用软件的过程应该被定义为用户的私有领域。可惜现在还有一个APP(微软Skype)在使用软件的过程中监控用户的信息和习惯。

4.提供公开透明的报告:

或许涉及运营模式、产品数据和专利等敏感信息，Element(原Riot)、Telegram和Viber选择不做高度透明的公开商业报道。

5.公开收集用户数据:

“个人隐私数据是免费使用的代价”——在充斥着类似思想的互联网环境下，巨头们疯狂地收割网民的信息，以促成更精准的大数据分析。但近年来，随着人们隐私意识的觉醒，这种观点越来越站不住脚。人们宁愿使用付费模式，也不愿将自己碎片化的信息暴露在阳光下。根据历史数据，谷歌、苹果、脸书、微软、帕维尔·杜罗夫、亚马逊和Viber的母公司都选择公开收集用户信息。

6.APP收集用户信息并将其发送给母公司或第三方组织:

通过收集用户数据，软件可以分析群体画像，为企业战略提供参考。另一方面可以通过“用户信息共享”实现行业合作，在赚取不义之财的同时巩固和拓宽商圈。不幸的是，在暴利的趋势下，大部分App都陷入了深渊——Facebook Messenger、WhatsApp、Viber、Google Messages和苹果iMessage基本上收集了用户的全维度信息，包括健康、财务、位置、搜索历史、浏览历史、数据等敏感数据。其他app或多或少会收集一些常用数据，比如联系人、位置等。值得一提的是，Session作为一个干净的流，没有证据证明其收集了用户数据，也没有线索表明其将用户数据交给了母公司。

7.默认情况下不打开加密功能:

默认情况下，加密功能是开启的，这决定了App开发者对安全通信的重视程度。经过调查，边肖发现这13款应用中，Facebook Messenger、微软Skype和Telegram都是默认关闭的。而Viber和WhatsApp是否默认开启取决于用户设备。

8.加密算法不安全:

加密算法的复杂程度决定了产品的安全性。复杂的加密方式可以大大增加破解成本，而复杂的多维加密方式可以增加几何级的劫持难度，从而达到安全防护的目的。这13款应用大多采用主流加密算法，如Curve25519、AES-256和HMAC-SHA256。其中苹果iMessage和微软Skype仍然使用SHA-1(安全哈希算法1)，安全性极其薄弱。SHA-1早在2005年就得到分析人士的证实，并公布了其有效的攻击方法。对于资金和计算资源相对充裕的黑客来说，SHA-1是难以抵挡的。可见这两个app的算法还是差强人意。

9.软件和服务器不是开源的:

开源软件可以不受官方限制，可以拓展和应用更多的渠道。甚至，客户可以用自己的方式维护和改进产品本身。开源是更符合互联网精神的举措。不幸的是，只有元素、信号、会话和连线采用了完全开源的机制。

10.不支持可重复构建反向验证应用程序:

虽然任何人都可以检查免费和开源软件的源代码是否存在恶意缺陷，但大多数软件都是预编译的，无法确认它们是否对应。因此，可重复构建可以验证编译过程中是否引入了漏洞或后门，从而防止威胁和攻击。遗憾的是，只有Telegram支持IOS和Android上的认证，Threema和Signal只支持Android上的认证，其他app不允许重复搭建。

11.支持匿名注册:

虽然很多通讯软件都希望用户通过匿名注册的方式提前体验产品，增加粘性。然而，匿名注册不仅会增加无效用户的数量和降低准入门槛，还会使注册用户面临潜在的信息安全威胁。目前只有Element、Threema、Wickr Me和Session支持匿名注册。

12.中间人攻击可以通过修改目录服务器开始:

中间人攻击(Man-in-the-middle attack，MITM)是一种拦截正常的网络通信数据，然后篡改和嗅探数据的攻击方法。沟通双方对整个过程并不知情。令人震惊的是，除了Google Messages使用的是RCS而不是目录服务器，所有列出的app都支持通过修改目录服务器进行中间人攻击，安全性可想而知。

13.用户不会收到指纹更改的通知:

指纹识别作为识别用户身份的一种方式，和登录密码一样，在被更改后要提醒用户，让用户第一时间知道账号的安全性。据调查，苹果iMessage、Skype、WhatsApp和Telegram都没有告诉用户这一点。

14.个人信息没有经过哈希处理:

密码学中哈希算法的主要作用是对消息进行摘要和签名，并检查消息的完整性。哈希算法是不可逆的，用于密文保存密码的签名。网站后台只保存签名值。这样即使App中存储的信息被盗，也无法获取用户的密码，安全性更高。三款app中，只有Element、Threema和Wickr Me对用户的手机号、联系人等隐私信息进行了完整的哈希处理。

根据以上14个指标，在这13款通讯app中，唯一相对安全的软件是Signal、Threema和Wire。但这三款软件仍然存在不同程度的安全问题，仍然没有摆脱信息安全的根本问题——信息的公有云存储。所以，跳回国内，如果有一款通信软件，可以满足私有云部署的苛刻条件，基本上可以避免上述14个标准中提到的大部分问题。就边肖目前走访市场的结果来看，国产通讯软件中，要么存在追求快速获客(免费使用)而忽视安全技术加持，要么加密技术不足，要么使用场景单一，要么功能不全，要么成本过高(架设专业服务器进行私有化部署)...能满足高性价比、私有化部署、顶级加密技术、良好的信息安全防护硬件、全面强大的功能要求的通信软件只有一款，而且目前边肖正在试用中。过段时间笔者会重点写一篇试用心得，供关注信息安全的朋友参考。