web-dev-qa-db-ja.com

電話番号識別子を必要とする著名な*安全なメッセージングアプリ*の影響

より具体的かつ一般的に、これより 関連する質問著名な安全メッセージングアプリ(ユーザーのプライバシーを保護するものとしてマーケティングする)のプライバシーの影響について知りたい電話番号。

Signal、Telegram、TextSecureは最高評価 EFFセキュアメッセージングアプリ で、すべてのカテゴリで緑色のチェックマークを獲得しています。ただし、3つすべてに電話番号でのサインアップが必要です。これには2つの一般的な理由があります。

  1. 使いやすさ-私は 電話が物理的な2番目の要素 を取得するのが最も簡単であることを理解し、プライバシーとセキュリティをあまりコンピュータに詳しくない人が利用できるようにすることには一定の価値がありますが、ユーザー名は「複雑」-AIM、Yahoo!Messanger、さらには現在のGoogleハングアウトのような、10年以上のユーザー名ベースのメッセージングアプリがありました。

  2. 乱用とスパムの防止-再び問題にはなりません。メッセージングサービスは強力なCAPTCHAを使用できます。SIMカードは 50セント/ピース であり、それは約aの後ですUS eBayで検索する時間。これらはおそらくアジアやダークウェブではるかに安く、初めてのユーザーにプロモーション(無料の配車/配達など)を提供するさまざまなサービスを詐取するために日常的に使用されています。ただし、メッセージングアプリは実際には価値の高いサービスを提供していません。また、ランダムにユーザーIDを生成するよりも、範囲内のすべての電話番号を大量にIM(電話の市外局番で)するほうが簡単です(ただし、早めに申し訳ありませんが) joesamなどのアダプター。

これらのすべてのアプリが、ユーザーがポケットに入れて持っている追跡デバイスに関連付けずに、単にユーザー名を作成するオプションを提供しない理由を私はまだ理解していません。 (多くのサービスはGoogle VoiceのようなVoIP番号でのサインアップを特に禁止し、無料のSMS検証サービスを禁止していることに注意してください。)

とにかく、ユーザーの電話番号を識別子として使用する安全なメッセージングアプリに行き詰まっているように思われる場合、セキュリティとプライバシーにはどのような影響がありますか?そうですか、

  1. 抑圧的な体制は、国の通信インフラに接続された登録に依存するサービスをブロックする可能性があります。 イランはどうやらこれをTelegramに行っただけです
  2. 電話アカウントの乗っ取り 、したがってアカウントの乗っ取りとなりすましのリスクが非常に高い(これは、例えば内部告発者を暴力的な体制の手に誘い込むために簡単に使用できる)
  3. SMSトラフィックはNSAによって収集され、1日に200Mテキスト= (2014年)になるため、SMSを介して認証コードを受信するすべてのユーザーこれらの「安全な」メッセージングシステムからの 非常に可能性が高い フラグが付けられます。シグナルは、SMSユーザーがシグナルユーザーであると判断できることを確認しました 設計により
  4. メタデータを介したユーザー間の関係の露骨な露出。キーラン・ヒーリー教授は、メタデータ(ここでは、グループに属していると会うと、会議の内容を対比して)が主要な個人を識別するためにどのように使用できるかを示す優れた記事を書きました- メタデータを使用してPaul Revereを見つける 。これは、私が知らなかった個人に対して完全に無害な何かについてシグナルした場合、ウォッチリストに載っていたとしても、容疑者としてそれらに非常によく関連付けられる可能性があることを意味します。その場合、私のコミュニケーションはではない暗号化されているため、個人の不審なIDと話しているのではないように見えますが、電話番号ベースの安全なメッセージングアプリは、それを実行します-私のIDを容疑者のそれと関連付けます。
  5. 必然的にあなたの電話番号が相手に漏らされます。クラシファイド広告やデート広告を投稿するときは、通常はそうしたくないので、これらのデリケートな状況で人気のあるメッセージングプラットフォームは安全なメッセージングアプリではなく、ユーザー名を作成できるKikです。

無実の個人としては、電話番号ベースの安全なメッセージングアプリがセキュリティよりも懸念をもたらす可能性があるようです。たとえば、 誤ってテロリストのウォッチリストに到達する の可能性や、唯一の理由でフラグが付けられる可能性があるためです。あなたは 過激派フォーラムで提唱されたテクノロジーを使用しています

どこが間違っているのですか?私は何を逃したのですか?

10
Dan Dascalescu

電話番号が関連付けられていなくても、諜報機関があなたと話している相手を関連付けるのを実際に止めることはできません。

暗号化により、彼らはあなたが話していることを追跡できなくなりますが、これらのようなリアルタイムメッセージングサービスは、あなたが話している相手を常に追跡できます。エンドツーエンドで暗号化されていません。チャットサービスプロバイダーの協力がなくても、政府やISPは、タイミング攻撃を使用して誰と話しているのかをかなり理解できます。

匿名性を取得し、識別から保護するには、ミキサーネットワークが必要です(Torはそのようなミキサーネットワークの例です)。ミキサーネットワークは、複数のノードを介してメッセージをルーティングし、相互に信用できない複数の管轄区域を越えて匿名化を本当に困難にします。レイテンシーと匿名性のトレードオフです。ミキサーネットワーク上で実行されるメッセージングネットワークの1つの例はTorChatです。

6
Lie Ryan