圖: Shutterstock
保護消息源對記者來說是一項非常重要的工作,像 SecureDrop 這樣的爆料平台和 Signal 這樣的通訊應用能夠讓你與消息源安全地交談。但除了這些保護隱私的應用外,你還需要關注元數據(metadata),這些數據可以用來確認你在和誰聯繫。在這篇文章中,我們將聚焦手機通訊錄的安全保護。
通訊錄簡史
在手機出現之前,聯繫人姓名、電話號碼和其他資訊都是完全離線的,只存在於你的電話本中。是否有人能接觸到這些潛在的敏感信息是一個很簡單的問題,即物理的電話本是否在他們的手中。
在筆記本之後,許多早期的手機會或個人數字助理(PDA, personal data assistants)會將聯繫人信息儲存在專門的空間里。需要保護這些聯繫人信息,就和保護電話本一樣,不讓人物理接觸到它們就可以,而手機或 PDA 還可以設置額外的解鎖密碼。但這個密碼並不會對儲存內容進行加密,當設備落入其他人手中,還是可以輕易提取其中的數據,而不少早期手機也會將聯繫人信息儲存在 SIM 卡上,因為手機本身並沒有太大儲存空間來儲存這些數據,而 SIM 卡中的聯繫人數據也很容易被提取。
當手機開始有了較大的儲存空間,人們便可以將聯繫人信息儲存在其內部儲存器中。當智能手機開始普及時,對數據隱私的保護也開始進一步升級——你可以對手機內數據進行全盤加密,這樣就算你的手機丟失了,其他人也無法輕易獲取裡面的數據。你可以參考這份安全指南,了解如何在手機上啟用全盤加密。
雲時代的通訊錄
Google 開發的 Android 系統和蘋果的 iOS 系統都為智能手機中的內容提供了很好的保護,使其免受未經授權的物理訪問。但不幸的是,這些數據不單單留存在你的手機中。
蘋果的 iCloud 可以同步你存儲在手機中的若干數據,這樣你就可以在登錄賬戶後在任何硬件設備上訪問這些數據。正如他們在服務條款中所寫明的,這也意味着這些數據的副本會儲存在蘋果的服務器上,其中當然包括你的通訊錄。
蘋果的 iCloud 服務可以同步你的通訊錄到任何登錄賬戶的設備上,但同時這也增加了泄露風險。
此外,如果你啟用了虛擬助理 Siri,它可能會根據在其他應用中發現的聯繫人數據而自動建議常用聯繫人,不過這項功能可以關閉。
同樣,一旦你使用 Google 賬戶登錄 Android 手機,你手機的通訊錄也會被同步到 Google 的服務器上,和 iCloud 一樣,這樣你就可以在任何你登錄 Google 賬戶的設備上同步聯繫人。
Google 會根據你使用 Gmail、Google 日曆和其他服務進行溝通的對象自動創建聯繫人。
此外,谷歌會根據你使用 Gmail、Google 日曆和其他服務的溝通對象自動創建聯繫人。即使你的手機通訊錄是完全離線的,Google 也可能根據你在相關服務中與這些聯繫人的互動來建立一份“影子通訊錄”,不過這項功能也是可以關閉的。
如果你使用了 iCloud 或 Google 的服務器來同步你的聯繫人,這也意味着政府或司法機構可以通過獲得相關命令來獲得這些數據儲存在蘋果或 Google 服務器上的副本。如果你希望保護的消息源信息可能被這種途徑所獲取,那麼你就需要禁用同步聯繫人的功能。
除了這種方式,你的蘋果或Google 賬戶被黑也是一種風險。一旦有人可以訪問你的賬戶,也就意味着他/她可以獲得你的通訊錄。為避免這種風險,你可以使用密碼生成器來生成隨機、難以破解的密碼,以及為這些賬戶啟用兩步嚴重功能(2FA),這些方法可以在很大程度上避免你的賬戶被黑。
保護你的消息源
蘋果和 Google 都允許你選擇想要同步哪些數據,所以在和敏感的消息源聯繫之前,你可以先調整你的 iCloud 或 Google 的同步設置,取消通訊錄的同步。
如果你想從蘋果或 Google 的服務器上刪除一個聯繫人,你可以參考一下它們的隱私政策,看看在“刪除”動作後這些數據還會留存多長時間——這可能是幾天到幾個月,如果是金融交易相關的數據,則可能長達幾年。
- 對於刪除儲存在iCloud中的聯繫人,你可以在通訊錄同步功能打開的情況下,從通訊錄中刪除相關的聯繫人,這樣刪除記錄也會和 iCloud 進行同步,並在蘋果服務器上被刪除。當這一切完成後,你可以再關閉通訊錄同步的功能,防止新的聯繫人被同步到 iCloud 上。
- 對於存儲在 Google 服務器上的聯繫人,你可以直接訪問 https://contacts.google.com,並在上面進行操作。如果你在 Android 手機上登錄了 Google 賬戶,並打開了聯繫人同步功能,你的聯繫人列表會自動和服務器上的記錄保持一致。如果你想把被刪除的聯繫人重新添加到一個 Android 設備上,而不與 Google 賬戶,你必須先關閉聯繫人同步的功能,然後再把這個聯繫人添加到通訊錄中。
如果你的設備要與他人共享,或者擔心設備可能丟失或被搶走,或者僅僅不想任何數據儲存在蘋果或 Google 的服務器上,你可以將一些特別敏感的聯繫人信息寫在物理的通訊錄中,或是一個密碼管理器中。像 1Password 這樣的密碼管理器提供了儲存聯繫人的功能。
一些貼士
經過一些設置,聯繫人信息可以被安全地儲存在你的手機或電腦中。然而,當你在使用這些信息時往往會留下痕迹,即使是端對端加密的電子郵件也無法徹底隱藏聯繫人的郵件地址,而使用電話產生的通訊記錄也會被電信運營商記錄下來,有時還可能被執法部門記錄下來。像 SecureDrop 這樣的爆料平台允許記者和消息源之間在不透露電話號碼、電子郵件,甚至是 IP 地址的情況下進行接觸;而像 Signal 這樣的通訊應用也在獲取最少元數據的情況下,讓人和人之間進行交流。
David Huerta 是一位數字安全培訓師,他為世界各地的記者提供數字安全和隱私保護的課程。
