大陸 TG 用戶隱私安全須知
Telegram 並不是絕對安全的!
Telegram 並不是絕對安全的!
Telegram 並不是絕對安全的!
如果你不想有一天被請去喝茶,請務必參照本文的指示做好隱私保護。
如果你的身份已經暴露
不管是你確定自己的身份已經暴露,還是通過本文的指示保守估計你的身份已經暴露,都請執行以下步驟重新建立 Telegram 帳號,以確保最高的安全性。
- 訪問這個頁面註銷你現有的 Telegram 帳號。這個操作將刪除你所有的聊天記錄、聯繫人、雲端數據,請備份好重要數據後再謹慎操作。
- 仔細閱讀本文每項條目,尤其是關於重新註冊時的注意事項。
- 在遵循本文指示的情況下,重新註冊 Telegram 帳號。
實名手機號(包括且不限於 +86 / +852 / +886)
如果你的帳號曾經綁定過你的國內實名手機號,請默認你的身份已經暴露。
注意,這包括曾經解綁了實名手機號後綁定了別的手機號的帳號。
理由如下:
Telegram 曾經是允許通過手機號逆向查找到帳號的,香港示威期間有多名在 Telegram 上活躍的學生領袖被抓,被廣泛認爲是通過遍歷實名過的手機號找到了帳號,從而暴露個人身份的。從而可以保守地估計,所有國內實名號段都已經被遍歷完畢,社工庫已經建立完善,就算解綁也無濟於事。
重新註冊時請使用非實名、非國內的手機號進行註冊。可以買預付費的電話卡、VoIP 電話號碼,或者在線 SMS 服務商等等。
用戶名、ID 重複使用
如果你曾經使用的 Telegram ID、用戶名跟你別的網站,尤其是國內的實名制網站的 ID 相同,請默認你的身份已經暴露。
這個理由應該顯而易見,只要簡單的搜索就能定位到你別的網站的帳號,如果對方網站有實名認證,也可以非常輕易地獲得你的個人身份信息。而且請保守估計,你曾經使用過的 ID 已經被人記錄下來了,再更換也無濟於事。
重新註冊時請使用一些簡單且常見的單詞作爲用戶名和 ID。一個不容易泄露你身份的 ID 應該不跟你任何的網站帳號有關聯,在搜索引擎搜索也不會跳出任何和你有關的條目。
國產輸入法
這是經常被忽略和輕視的一環,然而非常容易暴露個人身份。如果你曾經使用過國產輸入法在大群中發言過,請默認你的身份已經暴露。
理由如下:
有確切的技術分析指出,國產輸入法有上傳用戶打字記錄的行爲,有些甚至會上傳更多暴露個人信息的數據,比如 IP 地址、系統進程列表、軟件窗口標題、甚至屏幕截圖等等。如果審查機關有訪問這些數據的權限,可以通過你在 TG 群內的發言時間和內容檢索到你的輸入法監控記錄,從而關聯到你的個人身份。有些輸入法的雲端同步帳號是關聯實名帳號的,這種更加容易直接暴露個人身份,請多加注意。
盡可能地使用國外操作系統自帶的輸入法(如微軟輸入法)、國外產的輸入法(如谷歌輸入法)、或者開源的輸入法(如小狼毫)。手機端更需要注意,特別是安卓機,大部分國產安卓機都是安裝的改版的國行安卓系統,系統自帶的就是國產輸入法,這種情況只能刷谷歌官方安卓系統,再裝谷歌輸入法了。
其他國產軟件
如果你曾在登錄 Telegram 的設備上使用過任何國產軟件,請默認你的身份已經暴露。國產軟件包括且不限於:QQ、微信、360 安全衛士、百度管家、擼大師、視頻站客戶端、國行 Windows、安卓操作系統等等。理由基本同上。如果出於工作和聯繫一定要使用,請分開不同的設備使用 Telegram 和這些國內軟件。
釣魚代理
有些機場主被抓後被強迫提供客戶數據,也就是說你用的機場說不定在向審查機關提供你的原始 IP 地址和你通過代理訪問的目標 IP 地址。如果你和 Telegram 之間只有一層這樣的代理,請默認你的身份已經暴露。
注意,就算你相信你的機場主今天不在作惡,也無法保證哪天他會被偷偷抓去喝茶,威逼利誘之下把你們這些客戶通通給出賣掉。
最安全的代理方案如下:
- 在最靠近你的原始 IP 這端,使用一個國外出名的代理軟件,如果國外的不行,國內的大機場也行。這層代理加不加密都可以,也不需要指定某種代理軟件,但是一定要選用使用人數衆多的代理。理由是人多能「藏木於林」,也就是提供匿名性。當然了,因爲這一層代理是需要過 GFW 的,所以隱蔽性和穩定性也很重要,但是不在本文的討論重點範圍內。
- 在第一層代理翻出去之後,再掛一層自架代理。這一層一定要選用高強度的加密代理。理由是加密和自架能提供安全性,防止被人知道你的目標 IP 地址。目前公認的最安全的加密方案是 Curve25519 密鑰交換協議 + xSalsa20 對稱加密算法 + Poly1305 校驗碼算法。支持該方案的代理軟件目前以 WireGuard 爲主。
匿名性和安全性是無法通過一層代理滿足的,而且必須先滿足匿名性之後才能再滿足安全性,如果順序錯了就沒有意義了。
TG 釣魚聯繫人
如果你曾經添加過 Telegram 聯繫人,除非你能確保對方滿足本文的諸項安全條目,否則請默認你的身份已經暴露。
理由如下:
如果你的聯繫人暴露了,或者電腦或手機遭到監聽,審查機關是有可能通過你的聯繫人將你的身份和你的帳號聯繫起來的。
重新創建帳號之後請不要添加任何聯繫人,如果有必要可以建立只有兩人的聊天群。
敏感聊天記錄
如果你在 Telegram 上和任何人泄漏過你的身份信息,除非你完全相信此人,否則請默認你的身份已經暴露。
Telegram 默認是可以轉發一個人的言論的,轉發後也是默認能通過用戶名關聯到賬戶的。就算在設置裏面禁止這些選項,也是可以通過截圖進行轉發和帳號關聯的。一對一的私人聊天還好,如果是在大群裏面泄露了個人信息,信息泄露的可能性相當高。
另外,有傳言指出某些非常廣泛使用的 TG 機器人和審查機關有關係,在有這種機器人的群里泄漏信息的話後果更加嚴重。
重新創建帳號後請多加注意不要字裏行間透露自己的年齡、學歷、居住地等信息。發照片之前清空 EXIF 元數據,避免分享自己編輯過的 Word 文檔、PDF 等可能帶有元數據的文件。
Telegram 隱私設置
請過目一遍你的 Telegram 隱私設置,準則是:如果沒有絕對的必要,就不要過多地暴露你的個人信息。
如果你已經被請去喝茶
這是最壞的情況,在此也只能給予一些一般論的建議:
- 不用執着於清理你的聊天記錄了,如果已經查上你房門了,說明對方已經掌握了足夠多的內容,你清不清已經不緊要了。
- 有時間多想想自己的後路,人總歸是要吃飯的,不要爲了一時的衝動讓自己後悔一輩子。
- 只要不是把你跟什麼反動組織扯上關係,只要是你一個人的罪名能認的都認了,要你簽什麼你就簽,保持謙遜的態度,主動認錯,誠懇道歉,等候寬大的處理是你最好的選擇。
- 要是放過你了就安安分分做個守法市民,別再翻牆了,努力賺錢之後移民是你最好的結局。
- 最不濟也就是上個檔案,丟個工作,蹲個牢,從此坐不了高鐵而已。要後悔就後悔你過於僥倖,不仔細做好安全措施吧。
寫在最後
你可能會覺得未免有些太大驚小怪了,其實這也完全取決於你自己。如果你能管好自己的言論,不去觸碰紅線,自然也不用過分擔心。但是如果你是另一個極端,這些絕對不是危言悚聽,在繼續僥倖下去之前,請想象一下哪天自己被請喝茶時該怎麼辦吧。