秘密谈:如何打造“最安全”的聊天应用?

mimitan

过去一两年来,信息安全问题受到人们的高度关注。对于一些企业来说,如何避免他们的情报在令人尴尬的场合公之于众,成为一个大问题。去年年底,索尼影业被曝光多名员工和前员工的往来邮件以及个人资料等信息,引发了对于该公司的一场地震。事后证明,索尼影业的安全措施做得极不到位,甚至在一台安全员工的电脑上,用户名和密码是用明文保存的。

说到信息安全,现在即时通讯软件的安全问题是最值得人们关注的,因为不管作为个人身份,还是作为公司的员工身份,都必须在每天与人交流。我们平时已经善于使用包括QQ微信这样的聊天软件,但我们心里都很清楚它们不安全。只不过,大家平时都没有太把这种聊天的安全性当回事。如果你碰巧遇到了一个特别需要注意安全的环境,要保证聊天往来的内容不会被别有用心的人截留,那么你会惊奇的发现,现在市面上没有什么特别好的选择。

的确有不少软件都试图打出安全牌,但是随后都销声匿迹。号称阅后即焚的青少年喜欢的聊天应用Snapchat最终被证明,只不过是在聊天者之间产生了虚假的安全感,他们只展示几秒钟的私密信息并不会真正的安全。去年8-9月份,一个借助蓝牙局域网实现的聊天通讯应用Firechat变得非常火爆,但它的应用范围也受到明显的限制——只能够让大家在面对面或者距离很接近的情况下才用的上,如果企业需要跟员工远程交换机密数据的话又不适合。

在这种情况下,两位俄罗斯大亨兄弟Pavel Durov和Nikola Durov产生了这样的念头:“如果没有谁能够为我做出一款确保信息安全的应用,那么就自己做一个出来”。于是,Telegram应运而生。这款应用具有了其他任何即时通信应用程序的特点:安装方便,打开注册的过程也不麻烦。用户感知不到任何需要为安全所做的额外牺牲,他们只需要知道自己聊天的过程是绝对保密的,就可以了。

本地化

Telegram一上来就选择了开源的策略,至今为止仍然把自己在不同平台的客户端,都通过向全球社群征集的方式来开发。现在它们在自己的官网发起了邀请赛,悬赏希望全球的开发者为他们设计在黑莓平台的客户端。

这款软件的多语言的开发任务也是由全球各地的人们来完成的,允许他们直接借助本地化的机会,开发带自己品牌的聊天软件,只需应用他们的API,让这一协议改头换面,增加更强的安全性。

一个香港团队就是这种本地化和贴牌开发的实践者。他们所做的工作正是将这款软件汉化为中文版,并且给它一个全新的界面和全新的名字,叫做“秘密谈”。

跟原版Telegram一样,目前秘密谈没有任何广告,而且他们把没有广告作为卖点之一。这样做的原因是,他们本身即是一家信息安全公司,秘密谈的宣传效应已足以为他们聚拢用户,这就是他们的盈利模式。

比起内地同胞,香港人可能更希望拥有一个安全的,不受监控的聊天环境。这一点在他们过去的切身体验中表露无遗。香港壹传媒前主席黎智英就曾经受到过信息资料外泄的困扰,一封爆料信曾经被推给他的对手媒体,宣称他曾经送钱给香港的立法会成员做游说之用。

对于我自己而言,这款主打安全私密和不受监控的聊天软件,居然能够在中国的多个应用商店当中成功上架,并且他们确实有在中国发展新用户,甚至借此盈利的计划,这才是最让我感到惊讶的地方。

创始人蔡智文(Peter)表示,可能能够保证成功上架的诀窍在于,这款应用可以服务于企业之间的内部信息交流。“对信息安全的真正需求是存在的,我们也是向那个方向发展。现在可能还不太确定,是否一定要发展成只在公司内部的通讯工具。”

试用

我们的主要谈话就是在秘密谈本身当中进行的。首先我需要找到下载地址,秘密谈目前仅有Android版本,iOS会很快放出。在国内商店下载的第一个版本无法正常注册,尽管会使用手机短信注册,并且收到来自官方的四位验证码短信,但注册之后却无法添加任何好友,也无法通过电话通讯录成功的邀请到他人。在Peter指点之下,我又下载覆盖安装了一次,这一次我成功的收到了他发来的消息。

Screenshot_2014-12-30-16-43-38_秘密谈

在中国,秘密谈做得更本土化,使用我们的手机号码作为用户名,这样就不怕丢失,到了其他的手机上也可以轻松地转移数据。而且更妙的是,如果有人在使用原版Telegram软件,他们之间的信息可以互通。不过,用手机短信注册方式并非Telegram原本希望的验证手段,因为手机本身不能算安全。他们推出了新的验证方法,是发去一个作用像是二维码的颜色色块。这种深浅不一的色块代表着一个独立的用户名,用户发送这种信息来进行身份识别和添加好友。这种方式在中国可能太过繁琐。

Screenshot_2014-12-30-16-44-51_秘密谈

别看软件小。它的功能可是一点都不弱,其中不仅包含有丰富的表情可以使用,甚至还可以使用贴纸,而用户也可以传递任何形式的文档给对方,不管是文字,语音,图片,视频还是文档文件。在发送视频的时候软件本身会进行预先压缩,原本大概2M左右的影片会被压缩到300-400k。

你甚至可以传送自己的位置。需要注意的是,传送位置的功能是需要打开外部的地图应用的,在国外是谷歌地图,在国内,秘密谈团队将会把这个应用转换成调用百度地图。在应用之间的切换会引发其他程序对动作的监听吗?“从软件的原理上来说,应该是不会的。”Peter这样回答我。

在秘密谈内部,并不是每一段对话都会被自动加密。用户可以选择在一段对话开始的时候上锁,在对话的窗口当中会显示一把绿色的小锁。这时可以选择阅后即焚的发送方法,可以自己控制消息在几秒钟之后将会自动删除。如果你发送消息的时候对方不在也不要紧,这个阅读时间是在他们打开会话开始计算的。当然如果你想要截取屏幕,这个动作成功之后聊天窗口都会显示“截屏成功”的提示。

Screenshot_2015-01-15-16-43-25_秘密谈

未来发展

Peter表示,从上架到现在也就不到两个星期的时间,已经有了数千次下载,并且他们也没有刻意的在商店当中进行推荐,或者找其他媒体进行介绍。秘密谈的开发是属于社区行为,并不需要与Telegram官方取得许可。未来如果做得比较大了,他们会考虑直接接触官方,去开发更多适合中国用户的功能。

不过另一方面,他们也有独立于Telegram协议本身的想法,因为他们也想逐步利用自己的技术。公司目前的信息保安顾问业务主要服务于香港和海外用户。

Durov两兄弟使用了传统的悬赏方式来查找协议中可能的漏洞,就在今年年初,有专家声称验证方式有可能会被人攻破,导致伪造身份。Peter表示,因为使用了同样的API,其风险自然也会被继承,但是他们会紧跟官方的更新。

“使用Telegram也不是长久之计,我们正在重组自己的服务器端,希望能够在一定时间之后就脱离原版。在这段时间要准确地收集客户的反馈。”

秘密谈团队由三名联合创始人组成,他们在中学时就认识。CEO 蔡智文现时拥有两家初创企业:可以在网上直播活动照片的Snapshock,以及零售中国海产干货的网店「海味轩」。产品总监邓志坚曾担任投行软件开发职务。技术总监霍俊曾为斯坦福大学开发图书分类系统,海外毕业后回流香港,主力研究电商和信息管理。

Peter曾说,秘密谈是一款专门面向大陆用户开发的应用。不注重信息安全,随意交换隐私的问题,在中国互联网用户身上显现的尤为明显。由于长期使用各种盗版,破解,甚至于免费模式的软件,为了盈利,他们就要求用户的个人信息作为交换。在国内,不管是公司还是个人的隐私安全,都受着极大的危险。

我想,秘密谈这款软件的积极意义也在于,能够让国人形成信息安全的习惯,和提高自身的防范意识。它不一定会让你的朋友圈都在上面,但至少如果你真的需要在喧嚣的互联网,有一个避开众人的私密角落,来聊一些个人的话题,那么你至少还有一个不错的去处。

打赏
  • 呼呼~我可算是你忠实的粉丝啦~

  • 感觉再安全 会有人用吗???? 还是会用微信和qq多一些吧~~