Tag Archives: Whatsapp

從 Signal 死機,側面看到 WhatsApp 今次幾咁大鑊

從 Signal 死機,側面看到 WhatsApp 今次幾咁大鑊
文:薯伯伯

Signal 從 1 月 15 日晚起至 1 月 16 日 down 機,服務陸續恢復,不過以我的使用情況而言,最值得留意的是不只是 Signal 服務器的問題,而是 Signal 出問題的這段時間,我的 WhatsApp 仍然沒有響過,是一個訊息都沒有。

不是因為我沒朋友,而是我的朋友寧願改用 Telegram 跟我聯絡,都不使用曾經獨佔龍頭的 WhatsApp 跟我做後備聯絡。WhatsApp 在 Signal 熄爐之際,乘機發出新聞稿,把強制用戶交出私隱的最後通牒,由 2 月改至 5 月才執行。

但跪地之舉看來已經難以扭轉勢頭,不少人寧願改用 Telegram 聯絡,也不吃 WhatsApp 的回頭草。

Signal 出事,有人以為 WhatsApp 可以得益,但事實反映,起碼在我的朋友之間,反而更凸顯了 WhatsApp 的大限已到。

長遠而言,有一個後備的聯絡方案,確是重要,Telegram 是一個合適的備份方案。Telegram 除了在 Secret chat 外,其他都沒有點對點加密,這是個問題,但 Telegram 作為臨時的後備方案,確是不錯之選。

建議各位:

1. 保留 Signal 作為主要的通訊工具

2. 把 Telegram 作為後備的通訊工具,最好是登記的電話號碼跟 Signal 相同。

而 Telegram 上的私隱設定,建議如下:

Settings -> Privacy and Security -> Phone number:

Who can see my phone number: Nobody

Who can find me by my number: Everybody

另外,Signal 出了問題,當然會影響了用戶體驗,尤其是新用戶。不過說句公道話,一個軟件的用戶量,在幾天之內由一千萬躍升至五千萬,短短數日之間多了四千萬人,即使是再強勁的技術支援,難免會有些甩漏,而觀乎他們在 Twitter 上的反應,是已經即時緊急維修及處理。

也許從另一個角度去看,一個軟件短短數天內多了四千萬用戶,到了今天才出事故,其實已經算是不錯的表現。

說我偏心也好,但能夠打破 Facebook 以及 Facebook 旗下的 WhatsApp 及 Instagram 獨大這個疆局,我是寧願多一點包容,多給一些時間及耐心。

還有,Signal 的運作資金,除了靠有心人的大額支持,還是很需要用戶的小額捐贈,請考慮以單次捐款或月供捐款來支持這個打倒巨人的平台:

https://signal.org/donate/

https://www.patreon.com/posts/46274280

淺談各種聊天應用軟件

淺談各種聊天應用軟件
文:薯伯伯

近日遷離 WhatsApp 的移民潮已成,勢不可擋,可喜可賀 🎉

我分享一下手機聊天應用的使用場景,希望對大家適應新環境會有幫助。

我的手機目前有以下聊天軟件:

一,Signal:

最主要的聊天應用,只對朋友開放。已經 99.9% 取代了我以前在 WhatsApp 的使用場。有些群眾平均年齡達 50 歲左右的長輩群組,都成功轉至 Signal。這一點確是很有阻力,但努力一點便成功。(其中一個努力的方法,是一定要退出陳舊的 WhatsApp 小組,不要抱著不設實際的甚麼「重要事情才去 Signal 聊」這種想法,其實甚麼事情也應該改去 Signal 聊。)

二,Telegram:

大多情況只用作公海,類似公眾討論區,因為可以隱藏電話及更改用戶名字。不過 Telegram 的討論區沒有提供點對點加密,這點在公眾討論小組,問題其實不大,因為別人不用有特殊破解技術,只需直接加入小組,已能看到討論內容,即使內容沒有加密,也非太大考慮。更應考慮的是要提醒用戶,小組是公眾可進,就像在巴士上不應大聲說話,小心言行。

但私人的聊天情況,如果介意對方看到電話號碼,才用 Telegram。如果不介意對方知道我的電話號碼,就用 Signal,但要強調一點,Signal 不適合做公海。

三,WhatsApp:

如果對方完全沒有 Signal,完全沒有 Telegram,卻只有 WhatsApp,否則要用直線電話或 SMS 聯絡,基於「有加密總比沒有好」的原則,在此情況下用這個過時兼侵犯私隱的軟件作為節衷,也未嘗不可。

但我目前留在 WhatsApp 的其中一個主要原因,是幫其他還未轉用的朋友轉場,自己的 status 已改為:「我仍在使用WhatsApp,因為想叫你轉用Signal。」而頭像亦改為 Signal 的標誌。

另外有些人問為何會離開 WhatsApp 生態圈、改用 MeWe,卻又沒有完全離開 Facebook。不同人有不同原因,我的原因是,我本身已完全停止更新 Facebook 的個人檔案(profile),但保留 Facebook Page,純粹作為訊息傳播之用。而且有甚麼地方是最適合提醒用家注意 Facebook 的霸王私隱政策?沒錯,就是在 Facebook。正如你在 Signal 上叫人用 Signal,其實是無謂的,因為對方已經轉用 Signal 了。你在 WhatsApp 上叫人轉用 Signal 或離開 WhatsApp,才有實質意義。

有些人又問如果把 WhatsApp 及 Facebook 的登記改為不同的電話號碼,能否防止兩者之間互換用家數據,侵犯用家私隱。我自己其實正是這樣做,即 WhatsApp 及 Facebook 使用不同的電話號碼,但 Facebook 似乎仍然能取得我的一些用戶數據。

最簡單是完全停用 WhatsApp,轉用 Signal,一了百了。

四,其他聊天應用:

微信: 🥶🥶🥶

是的,我在一部廢而不用的手機上,仍然裝有微信,因為有些朋友仍然使用微信(主要是西藏),所以間中仍然會開微信看看有甚麼最新消息。不過微信是安裝在一部廢機上,所有私隱權限都放到最低,這部手機與主要手機儘量沒有關連。

Line:

這個軟件其實同樣侵犯不少私隱,廣告多,可免則免,但有時跟台灣朋友聊天也是必須要用。不過因為使用頻率低,已暫時刪除。如果開關後再去台灣旅行,也會考慮重新安裝。

Wickr、Wire、Threema 等

也是小眾談論的加密聊天軟件,各有各好亦各有各壞,例如有一些可以隱藏電話號碼,但卻沒有二步認證(我覺得 2FA 比起隱藏電話更重要)。不過使用聊天軟件,極度關鍵的考慮是其採用率(adoption rate),如果 Signal 已經取得明顯的優勢(極度超越的 adoption rate,完勝!),那就用 Signal。

而且在推介任何軟件的時候,推介一個叫推介,推介十個就是擾亂。我是 2014 年開始用 Signal,但一直到 2019 年才算是較多核心小組轉至 Signal,既然 Signal 在加密及保安上已達至我滿意的程度,那我目前就叫大家用 Signal,不會打算推動用家轉用其他聊天軟件。

如果你當是小眾測試當時沒有問題,但肯定不會今天叫人移民 Signal,明天叫人移至 Wire 或 Wickr 軟件,否則大家過度疲累,很可能最終只願停留在舒適區,不作任何改進。

推介 Signal 的原因,在其團隊背景、運作方式、技術應用以及公眾採用率等等,很多人在談論時忽略了最後這一點。

https://www.patreon.com/posts/46148281

終極太空號碼

終極太空號碼
文:薯伯伯

坊間對於太空卡及太空機的討論頗多,但誤區也同樣多。最擔心有人使用太空卡及太空機,就錯覺地以為自己可以隱身匿名,這是危險的想法。這篇教學,目的是教大家申請一個虛擬電話號碼(virtual number),我稱之為「終極太空號碼」,因為這個號碼跟香港電話基站幾乎毫無關係,理論上收發短訊驗證碼時,本地的電訊商是無法得知其內容,這是關鍵。

「終極太空號碼」虛擬電話號碼(virtual number)的用途:

1. 申請 Signal/Telegram/WhatsApp

2. 如果申請的服務只能用電話號碼做雙重認證(2FA,2-factor authentication),可以考慮用虛擬號碼接收短訊,避免偷換 SIM 卡的風險。例如香港不少證券行,均只能用手機作雙重認證,用上虛擬號碼就極為方便。

3. 由於虛擬電話號碼是美國電話,可以用來申請一些美國服務,例如 PayPal 等,總之妙用無窮。

但有一點要注意,切勿用虛擬電話號碼來收取銀行或信用卡公司短訊,這點必須強調,一來銀行發出的短訊,虛擬號碼未必能收到,但更重要的是,香港銀行有機會以為你跟美國有關,可能要求你填寫美國的稅務申報表格,雖然如實申報便可,但實在沒有必要自找麻煩。

直入正題,先準備材料:

1. VPN(建議使用 ProtonVPN)

2. 美國 Apple ID(請參考〈離岸戶口點只銀行?薯伯伯教學開設海外App Store賬號〉https://www.patreon.com/posts/39576067 )

申請「終極太空號碼」步驟:

1. 用美國的 App Store 戶口,下載免費的應用 MySudo:https://mysudo.com/

2. 用 VPN 連接到美國的伺服器。

3. 打開 MySudo,如果起始畫面一直沒有任何動靜,可能因為你還未連接到美國 VPN 吧。

4. 在 MySudo 的介面,選擇 Create your first Sudo。

5. 按 Next。如果這裡出現問題,可以嘗試重新連接 VPN,選擇另一些美國的伺服器。如果仍然出現問題,可能你以前曾經使用同一個美國 Apple ID 下載並申請過 MySudo,所以顯示出錯,要用一個之前沒有下載過 MySudo 的美國 Apple ID 再試一次。

6. 輸入名字,暫時輸入真名都可以,之後隨時可以改動,選 Next。

7. 關鍵步驟,選擇號碼,按 Create a Phone Number。

8. 選擇美國(其他國家也可以,按自己情況決定),輸入自己喜歡的三位數字組合,例如 314(314 是密蘇里州聖路易)

9. 選擇心水號碼,選定之後就不能更改了。

10. 之後會問能否取用咪高風,選擇不允許。

11. 選擇名字,這個名字要選個合用,因為之後修改較麻煩。

12. 之後問能否傳送通知,選擇「允許」。

大功告成!

你現在就擁有了一個美國的電話號碼,以後就可以不須插入 SIM 卡,也能收取短訊驗證碼。在申請的過程雖然要打開美國 VPN,但收發短訊則不用 VPN。這個號碼虛擬離地,香港電訊供應商無法偷窺短訊內容,並且能有效防止偷換 SIM 卡的攻擊。長遠而言,建議使用這個號碼,逐步取代你原有的 Signal、Telegram 及 WhatsApp 號碼。

注:如果打算長期使用 MySudo 號碼,記得要做好手機的備份,因為 MySudo 的戶口密鑰置於手機之內,若然掉失了手機,又沒有做好備份,手機號碼就無法回復,這是 MySudo 服務安全的特點,但當然也有點不便。

在 Signal 上用太空卡與否,這是個問題

在 Signal 上用太空卡與否,這是個問題
文:薯伯伯

坊間終於出現大規模的遷移潮,從 WhatsApp 轉到更為安全的 Signal,我會就 Signal 的使用情況,再寫一些文章補充。

問:到底在 Signal 上應否使用「太空卡」?

(注:太空卡通常是指較短期使用的電話號碼卡,只在特定場合才開啟,有時甚至只用一天或數小時。不過坊間對「太空卡」的定義很廣闊。我在這裡提到的「太空卡」,是指短期使用的電話號碼。)

答:如果嫌長篇大論,請只看第四點及第五點。

我認為使用一個 *長期的電話號碼* 去登記 Signal,會較為恰當,亦是我目前的做法。如果你的 WhatsApp 是一個長期使用的電話號碼,不坊考慮用同一個號碼開啟 Signal。長遠而言,再考慮逐漸轉移至新的長期電話號碼。

我的理由如下(開放討論):

一,我使用 Signal 的場景及情況,其實大致上跟 WhatsApp 相若,所以對方是已經知道我的電話號碼。我在 Signal 上使用相同的電話號碼,也只會用來聯絡我原先已在 WhatsApp 上認識的人。

二,如果我不想對方知道我的電話號碼,我會使用 Telegram 或 Line,而根本不會以 WhatsApp 聯繫。同樣道理,如果我不想對方知道我的電話號碼,我根本就不會用 Signal 聯絡。

三,在 Facebook 興起了改名改頭像潮,你有時有試過打開一個朋友的頁面,完全認不出對方是誰。如果這種情況發生在 Signal 上,例如全部人使用了太空卡,每個人都用了新號碼,便要重新確認對方身份。也許對於個人而言,保障較大,但也喪失了其聯絡的用途。從廣泛採納(mass adoption)的層面而言,未必是好事。

四,如果用短期的太空卡號碼登記 Signal,在停用該 SIM 卡約半年後,該號碼會流出市面。萬一有其他人購買並使用該號碼上 Signal,有可能會令你的朋友誤會了該人是你。雖然 Signal 會提醒「安全碼」(safety number)已經改變,但大多數人會完全忽略警告。若打算用 Signal 作為長期聯絡的工具,建議用一個較為長期使用的電話號碼。現階段不妨使用原來的電話號碼(不論該號碼有沒有用身份證登記過),長遠而言不妨考慮使用一個新的預付電話卡或虛擬電話號碼作登記。

五,如果要更換電話號碼,請跟足以下的步驟。
在你的舊設備上:

1. 首先通知所有組員,你將離開群組。如果已經有新號碼,就先把新號碼加入,然後離開所有群組。

2. 通知其他知道舊號碼的人,你要更改號碼,並提醒他們要從電話簿裡刪除舊有電話號碼。如果已經有新號碼,亦把資料通知對方。

3. 報銷 Signal號碼,請到該網址:https://signal.org/signal/unregister/

4. 刪去 Signal app,再重新安裝,確保舊有的記錄全部清除。

5. 如果有使用桌面版,重新連結手機與桌面版的 Signal。

若在特殊時期,曾經把自己的太空卡加進小組內,最衛生的做法,是把只作短暫使用的太空卡電話號碼按(五)(1)項的建議離開小組。儘量不要經常把任何短暫使用的太空卡號碼長期存放在群組內。

***

兩句簡單撮要:本身已經公開在 WhatsApp 的電話號碼,在遷移階段,不妨先用同一號碼登記 Signal。長遠而言或按自身情況,考慮使用預付卡或虛擬電話號碼登記另一個 Signal 戶口。

***

說起來,香港人應變力強,不願造慣性的奴隸,WhatsApp 本來在香港一直佔主導市場(估計目前仍是),但在 2020 年 6 月底,看著不少香港在兩天之內,大規模遷移至更安全的 Signal,出人意表,老懷安慰!

在新時代的陰霾之下,恐懼在所難免,但在演化的過程中,恐懼正是進化動力之源,但願我們好好珍惜恐懼的機會,一起做出改變。

https://www.patreon.com/posts/39576289

匯出及刪除 WhatsApp 對話記錄

我發覺身邊有兩種朋友,一種是對資訊安全毫不在乎,無論個人思想如何先進,但一說到手機保安,往往就嚴重忽略,甚至會說:「我沒有犯法,怕甚麼呢?」「我啲嘢無秘密,無乜所謂。」

在這裡先引一句話:「如果你沒有東西需要隱瞞,你就不用害怕。」這句話應該出自戈培爾(Goebbels)。戈培爾是誰?就是納粹德國時期的國民教育與宣傳部部長,以鐵腕捍衛希特勒政權和維持第三帝國的體制。在納粹眼中,國民是不需要更不值得擁有私隱。

而另一種朋友,則是開始或經常擔憂手機不安全,但奈何因為電腦知識不足,不知從何入手。網上教學雖然不少,但數目太多,難以篩選,有些寫得太深,又未必看得明白。還有一些非常精彩,寫得極有心機,但羅列的事項太多,對於不少零基礎的讀者來說,就較難入口。

為了提醒大家資訊安全的事項,我會選擇一些相對較易做到,用較易入口的方式去講解一下。選擇的項目不會太複雜,目標讀者是對資訊安全零基礎。

如果有個人,把全家的相簿都帶在身上,你覺得有必要嗎?如果有個人,把過去十年與朋友之間的聊天對話,全都留在身上,你又覺得有必要嗎?大多情況下,確實是沒有必要。刪除對話時,不妨問問自己,對上一次翻查或搜尋對話是甚麼時候。

如果真的很有必要保留對話,那就善用「匯出對話記錄」功能,再作刪除。

*** WhatsApp 匯出對話記錄的方法 ***

1. 在較新版本的 WhatsApp 上才有「匯出對話記錄」的功能,如果你找不到這個功能,請更新 WhatsApp 版本。

2. 打開對話,點擊標題位置(聯絡人或小組的名字位置),掃到最底部,選擇「匯出對話記錄」,選擇是否「附加多媒體檔案」。匯出的檔案,是一個 zip 檔案,裡面有多媒體檔案及純文字的檔案。

3. 把檔案用電郵發送給自己,在電腦上就能打開。

4. 有必要的話,就把檔案在電腦上加密,以後再談談零基加密的方法。

至於選擇甚麼對話來清除,我自己的原則是,親疏有別。關係越近,就會刪除。反而疏遠的關係,例如在非洲的火山地帶旅行時認識的當地村民,就會保留。

好了,如果讀者認真去做,估計要弄一兩天才能完全清除記錄。