強調伺服器不在中國!WeChat 資安防護深度解析
在針對 WeChat 最新 5.3.1 版本當中的新功能作說明之後,針對 WeChat 的資訊安全,WeChat 臺灣邀請了騰訊安全平臺部應用維護安全總監宗澤,以及微信事業羣技術架構部安全經理楊光在發表會現場做了詳細解說,針對讓使用者對於資安相關疑惑,進行解答。
擁有 10 網路資安經驗、2005 年加入騰訊的騰訊安全平臺部應維安全總監宗澤表示,騰訊從管理層開始,從企業內網、駭客對抗、反垃圾訊息、法律打擊、內部違規等領域,就設立非常多的安全相關領域的從業人員,超過 2000 名員工每天都在進行資安維護,當中專門爲 WeChat 進行資安防護就有 300 人,從這方面也可以看出騰訊對於 WeChat 的重視,還有專門應急迴應團隊,7X24 小時來解決即時發生的問題。
WeChat 資安系統方面,從編碼設計上就做了預防跟防護,在騰訊內部,類似這樣的安全研發規範,就超過 100 份。而在編碼安全之後、版本發佈之前,還會針對原始程式碼漏洞、Activity 安全檢測、服務安全檢測、廣播挾持檢測、https 加密傳輸劫持漏洞檢測等 11 種漏洞檢測。
針對個人隱私,宗澤強調 WeChat 使用自己設計的「安全加密元件」,對於用戶隱私進行高強度的加密,除了手機 App 端,就連 Data Base 方面都進行完整加密。WeChat 後臺跟伺服器加密方面,騰訊內部設計了所謂「宙斯盾安全門戶」,針對遍佈海外、大陸機房,每天抵禦上千次駭客攻擊。至於洋蔥超人,以層層防護的機制,專門抵禦駭客滲透以及入侵。接着還有「門神網路安全解決方案」,針對後臺網站進行安全防護。
除此之外,騰訊還設立外部安全研究獎勵計劃。宗澤認爲,安全維護「只有更好,沒有最好」。騰訊每年藉此邀請全世界安全研究人士,共同幫助維護騰訊氣下產品的資安,光是發現單個漏洞,就提供最高 50 萬美金的獎勵,而且提供金額數量沒有上限,這也是他認爲騰訊內部包括 WeChat 服務最重要的安全機制。
微信世界羣技術架構部安全經理楊光,本身是 WeChat 從無到有的底層安全服務專家。他在會中表示,中國的互聯網產品,天生都會被使用者以有色眼光看待,因此很少有生存餘地,然而 WeChat 透過微信事業羣開發的,主要的想法在落實「用戶價值」與「尊重使用者」爲出發點,光是使用者資訊安全上,就針對終端安全、作業系統安全、App 安全等三個方面,全方位保護使用者安全。
楊光表示,WeChat 與微信共同面對的問題,包括個人帳號的盜用帳號、詐騙問題,開放平臺的漏洞,以及在使用微信過程中的木馬與駭客等,來自系統端、使用端還有色情、假貨、詛咒、謠言、謾罵、謾罵、侵權、詐欺等垃圾內容的問題。
WeChat 的安全機制主要透過系統打擊(五大安全研究中心、侵權處理中心、申訴系統、公衆平臺安全中心、刑事打擊中心、Weixin110 自助平臺)、用戶舉報(日處理 80 萬筆舉辦、7 天內回饋)、技術對抗(多人舉報報警封號系統、惡意網址攔截、OCR自動辨識技術、語義自動識別攔截技術、惡意行銷自動判斷模型、帳號信用度自動計算系統)等三個安全體系進行的。陽光表示,用戶產生的安全風險,多數是透過用戶舉報來規劃的,而用戶舉報也是這三個安全體系當中,不容忽視的一個安全機制。
WeChat 講究全方位的安全保障,可防盜號、防泄漏、防騷擾、防漏洞等應用機制,WeChat 帳號若於其他裝置登入,WeChat 安全提示會跳出警示提醒用戶小心帳戶安全,在聊天室中若出現財產資訊或關鍵字,系統則會自動警示使用者務必電話覈實朋友身分。
此外,在聊天室中若收到連結網址,安全提示則會警示使用者,如果連結網址有輸入帳號密碼之行爲,務必覈實對方的官方身分、以及網站連結是否安全。特別的是,WeChat APP 當中,提供專有獨家終端安全加密等技術,進一步爲用戶隱私資訊進行高強度加密。
針對外界認爲有關 WeChat 的資料中心可能設定在中國地區,會有使用者個資的問題。楊光闢謠表示,微信、WeChat 都很尊重、而且以不侵佔個人隱私爲主要原則。微信與 WeChat 是完全切割,在中國就叫「微信」,法律上就叫微信,遵守中國法律與政策,資料中心設定在上海、深圳等 IDC 流轉。至於中國地區以外的全球地區就都叫做「WeChat」,則是尊重所在國法律,資料中心設計在加拿大、新加坡跟香港進行 IDC 流轉,也唯有如此才能與國際接軌。
最後針對使用者端基礎安全設計,WeChat 提供綁定裝置密碼鎖、二次登陸認證、二次發號帳號申訴系統、非安全設備登陸攔截、敏感操作警報、驗證碼轉發提醒等六項機制,防護使用者在使用 WeChat 帳號上的安全。楊光呼籲,安全漏洞一定是有的,而且 99% 安全風險都是人爲的,呼籲使用者不要進行轉發認證碼,或是點選不明來源的連結。
簡而言之,WeChat 所擁有的核心安全技術,可說投入相當大的資金僱用專用安全防護團隊,而且是「軟硬兼施」,針對前端的主機安全(伺服器、資料庫)和終端安全(PC、Mobile App),後臺網路軟硬體設施安全保障,以及用戶 Web 應用安全保障而設計,在 WeChat APP 開發前、下載後、使用中,爲用戶隱私資訊進行高強度加密並防拷貝。WeChat 臺灣這次可說完整的解釋了該軟體的資安設計。
相較於安全機制模糊不清的 LINE 來說,這次的解說可說誠意十足,至於是否能因此獲得更多使用者青睞,實際資安防護上,是否真如這次所說安全無虞,《ETtoday 東森新聞雲》將會針對使用數據、用戶客服等方面進行後續追蹤報導。