行動通訊軟體安全比一比 關鍵在「安全機制」
2014年6月23日,台灣,新竹─「通訊軟體個資安全」是現代智慧型裝置普及下的一大隱憂,詐騙訊息、帳號遭盜、個資被冒用等案件頻傳,輕則個資洩漏、重則錢財流失,甚至引發法律責任追究等種種問題。為了研究通訊軟體個資安全性,國立清華大學資訊工程系資訊安全實驗室─孫宏民,日前針對目前台灣主流通訊軟體LINE與WECHAT進行安全性比較(備註),研究發現通訊軟體屬性為偏向封閉社群者,安全性與機制設置等級也較高,如加入好友及訊息傳送上有高度隱私限制,需手動關閉等功能,個資安全也相對較被保護。
透過此研究呼籲民眾提升對個人資訊隱私的重視與保護,避免隨意點選連結、或是依照他人指示收發簡訊、或撥出電話,同時,更特別呼籲通訊軟體業者,導入金流服務之前,需確實提升程式安全機制與設計,為使用者的資訊安全把關。
通訊軟體比一比 「安全」設置提升資安
孫宏民教授表示,智慧型手機普及與各種通訊軟體發展,有別於以往的付費簡訊與電話溝通,流通率與普及率迅速攀升;通訊軟體提供免費服務的同時,相關衍生的問題也越來越多,諸如詐騙等問題也層出不窮,因此,安全性便成為首要的資訊安全課題。由於每個通訊軟體的設計概念不同,安全與權限設置也會受到影響。
以市場兩大通訊軟體LINE與WECHAT,進行安全性設置相關的六個主要面向機制安全性進行比較,分別為「註冊及登入」、「好友加入」、「群組邀請」、「訊息管控」、「登入裝置限制」及「警示功能」。
- 「註冊及登入」機制:以同帳號在不同裝置登入來說,兩者皆會出現提示警告使用者,以LINE設計而言,會提示使用者原裝置記錄將被完全移除,WECHAT則提示使用者帳號在不同的行動裝置被登入但原裝置記錄不會被移除,兩者相較之下,WECHAT便利性較佳。
- 「好友加入」機制:通訊軟體大都預設為公開且不阻擋訊息接收,但由於程式設計的出發點不同,WECHAT相較於LINE,為較封閉之社群設計,在WECHAT中即使為通訊錄中聯絡人,也預設為必須逐一提出邀請成為好友,待對方接受之後才能成為好友,並互傳訊息,相較之下,此為較有保護隱私的基礎安全設計。
- 「群組邀請」機制:以LINE和WECHAT舉例,皆可以邀請朋友進入群組,但前者不需要和受邀方認識即可加群組聊天,而後者在加入群組前提,在群組中至少要有一位是WECHAT好友,並在任何一位「非好友」加入群組時,出現提示使用者注意隱私安全,因此,以此機制而言,開放廣邀任何人進入群組較容易曝露於陌生廣告或惡意連結之風險。
- 「訊息管控」機制:以LINE和WECHAT而言,前者於傳訊息時,可向任何LINE的帳號交談,而後者因必須經過雙向認證才能開始傳送訊息聊天,所以不會接收到「非好友」的訊息,不僅降低收到廣告,也大幅了降低收到詐騙及惡意連結的可能性,但當然若使用者自行取消雙向認證權限設定,或在未確認身分之下便同意加入陌生好友,則無法透過此機制過濾。
- 「登入裝置限制」機制:在電腦系統中安裝「桌機版」軟體雖然可將手機通訊軟體延伸至桌機使用,但透過帳號密碼資料輸入,便有機會遭受電腦其他惡意軟體盜取,再者,電腦中也會留存較多通訊記錄;若透過「網頁版」設計,雖然不如直接輸入帳密資料登入便利,但設計機制上於登入時,僅透過手機掃描QR Code綁定IP位置認證,並且只延伸登入後的通訊記錄,登出後隨即同步儲存終端裝置,不僅免除帳密輸入的外流風險,電腦中也不會留下任何使用紀錄,大幅降低資料儲存於雲端遭竊或個資遭盜之風險。
- 「警示功能」機制:在收到外部網址連結,及與帳號、金錢等數字訊息時,安全的通訊軟體須顯示安全性警示字樣提醒使用者注意,以避免個資外洩與點擊高風險網址連結,進而保護使用者個資安全,而以目前主流通訊軟體中, WECHAT於此設計機制上有較周全的設計。