强调伺服器不在中国!WeChat 资安防护深度解析
在针对 WeChat 最新 5.3.1 版本当中的新功能作说明之后,针对 WeChat 的资讯安全,WeChat 台湾邀请了腾讯安全平台部应用维护安全总监宗泽,以及微信事业群技术架构部安全经理杨光在发表会现场做了详细解说,针对让使用者对于资安相关疑惑,进行解答。
拥有 10 网路资安经验、2005 年加入腾讯的腾讯安全平台部应维安全总监宗泽表示,腾讯从管理层开始,从企业内网、骇客对抗、反垃圾讯息、法律打击、内部违规等领域,就设立非常多的安全相关领域的从业人员,超过 2000 名员工每天都在进行资安维护,当中专门为 WeChat 进行资安防护就有 300 人,从这方面也可以看出腾讯对于 WeChat 的重视,还有专门应急回应团队,7X24 小时来解决即时发生的问题。
WeChat 资安系统方面,从编码设计上就做了预防跟防护,在腾讯内部,类似这样的安全研发规范,就超过 100 份。而在编码安全之后、版本发布之前,还会针对原始程式码漏洞、Activity 安全检测、服务安全检测、广播挟持检测、https 加密传输劫持漏洞检测等 11 种漏洞检测。
针对个人隐私,宗泽强调 WeChat 使用自己设计的「安全加密元件」,对于用户隐私进行高强度的加密,除了手机 App 端,就连 Data Base 方面都进行完整加密。WeChat 后台跟伺服器加密方面,腾讯内部设计了所谓「宙斯盾安全门户」,针对遍布海外、大陆机房,每天抵御上千次骇客攻击。至于洋葱超人,以层层防护的机制,专门抵御骇客渗透以及入侵。接着还有「门神网路安全解决方案」,针对后台网站进行安全防护。
除此之外,腾讯还设立外部安全研究奖励计划。宗泽认为,安全维护「只有更好,没有最好」。腾讯每年借此邀请全世界安全研究人士,共同帮助维护腾讯气下产品的资安,光是发现单个漏洞,就提供最高 50 万美金的奖励,而且提供金额数量没有上限,这也是他认为腾讯内部包括 WeChat 服务最重要的安全机制。
微信世界群技术架构部安全经理杨光,本身是 WeChat 从无到有的底层安全服务专家。他在会中表示,中国的互联网产品,天生都会被使用者以有色眼光看待,因此很少有生存余地,然而 WeChat 透过微信事业群开发的,主要的想法在落实「用户价值」与「尊重使用者」为出发点,光是使用者资讯安全上,就针对终端安全、作业系统安全、App 安全等三个方面,全方位保护使用者安全。
杨光表示,WeChat 与微信共同面对的问题,包括个人帐号的盗用帐号、诈骗问题,开放平台的漏洞,以及在使用微信过程中的木马与骇客等,来自系统端、使用端还有色情、假货、诅咒、谣言、谩骂、谩骂、侵权、诈欺等垃圾内容的问题。
WeChat 的安全机制主要透过系统打击(五大安全研究中心、侵权处理中心、申诉系统、公众平台安全中心、刑事打击中心、Weixin110 自助平台)、用户举报(日处理 80 万笔举办、7 天内回馈)、技术对抗(多人举报报警封号系统、恶意网址拦截、OCR自动辨识技术、语义自动识别拦截技术、恶意行销自动判断模型、帐号信用度自动计算系统)等三个安全体系进行的。阳光表示,用户产生的安全风险,多数是透过用户举报来规划的,而用户举报也是这三个安全体系当中,不容忽视的一个安全机制。
WeChat 讲究全方位的安全保障,可防盗号、防泄漏、防骚扰、防漏洞等应用机制,WeChat 帐号若于其他装置登入,WeChat 安全提示会跳出警示提醒用户小心帐户安全,在聊天室中若出现财产资讯或关键字,系统则会自动警示使用者务必电话核实朋友身分。
此外,在聊天室中若收到连结网址,安全提示则会警示使用者,如果连结网址有输入帐号密码之行为,务必核实对方的官方身分、以及网站连结是否安全。特别的是,WeChat APP 当中,提供专有独家终端安全加密等技术,进一步为用户隐私资讯进行高强度加密。
针对外界认为有关 WeChat 的资料中心可能设定在中国地区,会有使用者个资的问题。杨光辟谣表示,微信、WeChat 都很尊重、而且以不侵占个人隐私为主要原则。微信与 WeChat 是完全切割,在中国就叫「微信」,法律上就叫微信,遵守中国法律与政策,资料中心设定在上海、深圳等 IDC 流转。至于中国地区以外的全球地区就都叫做「WeChat」,则是尊重所在国法律,资料中心设计在加拿大、新加坡跟香港进行 IDC 流转,也唯有如此才能与国际接轨。
最后针对使用者端基础安全设计,WeChat 提供绑定装置密码锁、二次登陆认证、二次发号帐号申诉系统、非安全设备登陆拦截、敏感操作警报、验证码转发提醒等六项机制,防护使用者在使用 WeChat 帐号上的安全。杨光呼吁,安全漏洞一定是有的,而且 99% 安全风险都是人为的,呼吁使用者不要进行转发认证码,或是点选不明来源的连结。
简而言之,WeChat 所拥有的核心安全技术,可说投入相当大的资金雇用专用安全防护团队,而且是「软硬兼施」,针对前端的主机安全(伺服器、资料库)和终端安全(PC、Mobile App),后台网路软硬体设施安全保障,以及用户 Web 应用安全保障而设计,在 WeChat APP 开发前、下载后、使用中,为用户隐私资讯进行高强度加密并防拷贝。WeChat 台湾这次可说完整的解释了该软体的资安设计。
相较于安全机制模糊不清的 LINE 来说,这次的解说可说诚意十足,至于是否能因此获得更多使用者青睐,实际资安防护上,是否真如这次所说安全无虞,《ETtoday 东森新闻云》将会针对使用数据、用户客服等方面进行后续追踪报导。