แอพส่งข้อความของคุณปลอดภัยจริงหรือ?

แอปพลิเคชันการรับส่งข้อความเป็นแอปที่สำคัญที่สุดแอปหนึ่ง—ถ้าไม่ใช่มาก(the )ที่สุด—ที่เราใช้ทุกวัน ไม่ว่าจะเป็นการติดต่อกับครอบครัวและเพื่อนฝูง(family and friends)ทั่วโลก ติดต่อเพื่อนร่วมงาน หรือดำเนินธุรกิจ แอพส่งข้อความ เช่น WhatsApp , iMessage, Skype และ Facebook Messenger(Skype and Facebook Messenger)มีบทบาทสำคัญในการสื่อสารประจำวันของเรา

เรามักแชร์สิ่งต่างๆ เช่น รูปภาพส่วนตัว ความลับทางธุรกิจ และเอกสารทางกฎหมายในแอปรับส่งข้อความ ข้อมูลที่เราไม่ต้องการให้ผู้อื่นเห็น แต่เราจะวางใจให้แอพส่งข้อความของคุณปกป้องข้อความที่เป็นความลับและข้อมูลละเอียดอ่อนทั้งหมดของเราได้ไกลแค่ไหน?

ต่อไปนี้คือแนวทางปฏิบัติบางประการที่จะช่วยให้คุณประเมินระดับความปลอดภัยที่แอพส่งข้อความ(messaging app) ที่คุณชื่นชอบ มีให้

คำสองสามคำเกี่ยวกับการเข้ารหัส

แน่นอน ทุกแพลตฟอร์มการส่งข้อความยอมรับที่จะเข้ารหัสข้อมูลของคุณ การเข้ารหัสใช้สมการทางคณิตศาสตร์เพื่อสลับข้อมูลของคุณในการเปลี่ยนเพื่อป้องกันไม่ให้ผู้แอบฟังสามารถอ่านข้อความของคุณได้

การเข้ารหัสที่เหมาะสมทำให้แน่ใจได้ว่ามีเพียงผู้ส่งและผู้รับข้อความเท่านั้นที่จะทราบเนื้อหา อย่างไรก็ตาม การเข้ารหัสบางประเภทไม่ได้มีความเท่าเทียมกัน

แอปส่งข้อความ(messaging apps)ที่ปลอดภัยที่สุด คือแอป ที่มีการเข้ารหัสตั้งแต่ต้นทางถึงปลายทาง ( E2EE ) แอปE2EE เก็บคีย์ถอดรหัส(store decryption)ไว้บนอุปกรณ์ของผู้ใช้เท่านั้น E2EEไม่เพียงแต่ปกป้องการสื่อสารของคุณจากการดักฟังเท่านั้น แต่ยังช่วยให้แน่ใจว่าบริษัทที่โฮสต์แอปพลิเคชันนั้นจะไม่สามารถอ่านข้อความของคุณได้ นอกจากนี้ยังหมายความว่าข้อความของคุณจะได้รับการปกป้องจากการละเมิดข้อมูลและหมายจับที่ล่วงล้ำโดยหน่วยงานที่มีจดหมายสามฉบับ

แอปพลิเคชั่นรับส่งข้อความมีการเข้ารหัสตั้งแต่ต้นทางถึงปลายทางมากขึ้นเรื่อยๆ Signalเป็นหนึ่งในแพลตฟอร์มแรกที่สนับสนุนE2EE ในช่วงไม่กี่ปีที่ผ่านมา แอปพลิเคชั่นอื่นๆ ได้นำโปรโตคอลการเข้ารหัส(encryption protocol)ของSignal มาใช้ หรือได้พัฒนาเทคโนโลยี E2EE(E2EE technology) ของ ตนเอง ตัวอย่าง(Examples)ได้แก่WhatsApp , Wickr และ iMessage

Facebook Messenger และ Telegram(Facebook Messenger and Telegram)ยังรองรับการส่งข้อความ E2EE(E2EE messaging)แม้ว่าจะไม่ได้เปิดใช้งานตามค่าเริ่มต้น ซึ่งทำให้มีความปลอดภัยน้อยลง Skypeยังเพิ่มตัวเลือก "การสนทนาส่วนตัว" เมื่อเร็ว ๆ นี้ซึ่งให้การเข้ารหัสแบบ end-to-end ในการสนทนาที่คุณเลือก

แฮงเอาท์(Hangouts)ของ Google ไม่รองรับการเข้ารหัสตั้งแต่ต้นทางถึงปลายทาง แต่บริษัทมีAllo และ Duo(Allo and Duo)แอพส่งข้อความและ(text messaging and video)การประชุมทางวิดีโอที่เข้ารหัสตั้งแต่ต้นทางถึงปลายทาง

การลบข้อความ

การรักษาความปลอดภัยมีมากกว่าการเข้ารหัสข้อความ จะเกิดอะไรขึ้นหากอุปกรณ์ของคุณหรืออุปกรณ์ของบุคคลที่คุณกำลังสนทนาด้วยถูกแฮ็กหรือตกไปอยู่ในมือของผู้อื่น ในกรณีดังกล่าว การเข้ารหัสจะมีประโยชน์เพียงเล็กน้อย เนื่องจากผู้ประสงค์ร้ายจะสามารถเห็นข้อความในรูปแบบที่ไม่ได้เข้ารหัสได้

วิธีที่ดีที่สุดในการปกป้องข้อความของคุณคือการกำจัดเมื่อคุณไม่ต้องการใช้อีกต่อไป วิธีนี้ช่วยให้แน่ใจว่าแม้ว่าอุปกรณ์ของคุณจะถูกบุกรุก ผู้กระทำผิดจะไม่สามารถเข้าถึงข้อความที่เป็นความลับและมีความละเอียดอ่อนของคุณได้

แอปการรับส่งข้อความทั้งหมดมีรูปแบบการลบข้อความ(message deletion) บางรูปแบบ แต่ คุณลักษณะ การลบข้อความ(message removal)บางอย่างอาจไม่ปลอดภัยเท่ากัน

ตัวอย่างเช่นHangouts และ iMessage ช่วยให้(Hangouts and iMessage enable)คุณสามารถล้างประวัติการแชทได้ แต่ในขณะที่ข้อความจะถูกลบออกจากอุปกรณ์ของคุณ ข้อความเหล่านั้นจะยังคงอยู่ในอุปกรณ์ของคนที่คุณสนทนาด้วย

ดังนั้น หากอุปกรณ์ของพวกเขาถูกบุกรุก คุณจะยังคงสูญเสียการเก็บข้อมูลที่สำคัญของคุณ เครดิตของแฮงเอาท์(Hangouts)มีตัวเลือกในการปิดใช้งานประวัติการแชท ซึ่งจะลบข้อความออกจากอุปกรณ์ทั้งหมดโดยอัตโนมัติหลังจากแต่ละเซสชัน

ในTelegram , Signal , Wickr และ Skype(Wickr and Skype)คุณสามารถลบข้อความสำหรับทุกฝ่ายในการสนทนาได้ วิธีนี้ช่วยให้แน่ใจว่าการสื่อสารที่ละเอียดอ่อนจะไม่คงอยู่ในอุปกรณ์ใดๆ ที่เกี่ยวข้องกับการสนทนา

WhatsAppยังเพิ่มตัวเลือก "ลบสำหรับทุกคน" ในปี 2560 แต่คุณสามารถใช้เพื่อลบเฉพาะข้อความที่คุณส่งภายใน 13 ชั่วโมงที่ผ่านมา Facebook Messengerได้เพิ่มฟีเจอร์ “ยกเลิกการส่ง” เมื่อเร็ว ๆ นี้ แม้ว่าจะใช้งานได้เพียง 10 นาทีหลังจากที่คุณส่งข้อความ

Signal , Telegram และ Wickr ยัง (Telegram and Wickr)มีคุณลักษณะข้อความ(message feature)ที่ทำลายตัวเอง ซึ่งจะลบข้อความออกจากอุปกรณ์ทั้งหมดทันทีหลังจากผ่านช่วงเวลาที่กำหนดค่าไว้ คุณลักษณะนี้เหมาะอย่างยิ่งสำหรับการสนทนาที่ละเอียดอ่อน และช่วยให้คุณไม่ต้องล้างข้อความด้วยตนเอง

ข้อมูลเมตา

ทุกข้อความมาพร้อมกับข้อมูลเสริมจำนวนหนึ่ง หรือที่เรียกว่าข้อมูลเมตา เช่นรหัสผู้ส่งและผู้รับ(sender and receiver IDs)เวลาที่ส่ง รับและอ่านข้อความ ที่อยู่ IP หมายเลขโทรศัพท์รหัส(IDs) อุปกรณ์ ฯลฯ

เซิร์ฟเวอร์การรับส่งข้อความจะจัดเก็บและประมวลผลข้อมูลประเภทนั้นเพื่อให้แน่ใจว่าข้อความจะถูกส่งไปยังผู้รับที่ถูกต้องและตรงเวลา และเพื่อให้ผู้ใช้สามารถเรียกดูและจัดระเบียบบันทึกการแชทได้

แม้ว่าข้อมูลเมตาจะไม่มีข้อความ(t contain message text)แต่หากอยู่ในมือที่ไม่ถูกต้อง ข้อมูลนี้อาจเป็นอันตรายอย่างยิ่งและเปิดเผยรูปแบบการสื่อสารของผู้ใช้ได้มากมาย เช่น ตำแหน่งทางภูมิศาสตร์ เวลาที่ใช้แอป ผู้คนที่พวกเขาสื่อสารด้วย เป็นต้น

ในกรณีที่บริการส่งข้อความ(messaging service)ตกเป็นเหยื่อของการละเมิดข้อมูล ข้อมูล(data breach)ประเภทนี้สามารถปูทางสำหรับการโจมตีทางไซเบอร์ เช่น ฟิชชิ่งและแผนวิศวกรรมสังคมอื่นๆ

บริการส่งข้อความส่วนใหญ่เก็บรวบรวมข้อมูลเมตาจำนวนมาก และโชคไม่ดีที่ไม่มีวิธีที่แน่ชัดที่จะทราบว่า บริการ ส่งข้อความ(information messaging) ประเภทใดที่ จัดเก็บไว้ แต่จากสิ่งที่เรารู้Signalมีประวัติ(track record) ที่ดี ที่สุด ตามที่บริษัทระบุ เซิร์ฟเวอร์ของบริษัทจะลงทะเบียนเฉพาะหมายเลขโทรศัพท์(phone number)ที่คุณใช้สร้างบัญชีและวันสุดท้ายที่คุณลงชื่อเข้าใช้บัญชีของคุณ

ความโปร่งใส

นักพัฒนาซอฟต์แวร์ทุกคนจะบอกคุณว่าแอปรับส่งข้อความของตนปลอดภัย แต่คุณจะแน่ใจได้อย่างไร คุณรู้ได้อย่างไรว่าแอพไม่ได้ซ่อนแบ็คดอร์ที่รัฐบาลฝังไว้? คุณรู้ได้อย่างไรว่านักพัฒนาซอฟต์แวร์ทำงานได้ดีในการทดสอบแอปพลิเคชัน?

แอปพลิเคชันทำให้ซอร์สโค้ด(source code)ของแอปพลิเคชันเปิดเผยต่อสาธารณะ หรือที่เรียกว่า "โอเพ่นซอร์ส" มีความน่าเชื่อถือมากกว่า เนื่องจากผู้เชี่ยวชาญด้านความปลอดภัยอิสระสามารถตรวจสอบและยืนยันได้ว่าปลอดภัยหรือไม่

Signal , Wickr และ Telegram เป็น (Wickr and Telegram)แอปส่งข้อความแบบ(messaging apps)โอเพ่นซอร์สซึ่งหมายความว่าพวกเขาได้รับการตรวจสอบโดยผู้เชี่ยวชาญอิสระ โดยเฉพาะอย่างยิ่ง Signal(Signal)ได้รับการสนับสนุนจากผู้เชี่ยวชาญด้านความปลอดภัย เช่น Bruce Schneier และ Edward Snowden

WhatsApp และ Facebook Messenger เป็นโอเพ่นซอร์ส แต่พวกเขาใช้ (WhatsApp and Facebook Messenger)โปรโตคอลสัญญาณ(Signal Protocol)โอเพ่นซอร์สเพื่อเข้ารหัสข้อความของพวกเขา ซึ่งหมายความว่าอย่างน้อยคุณก็สามารถมั่นใจได้ว่าFacebookซึ่งเป็นเจ้าของทั้งสองแอพ จะไม่ตรวจสอบเนื้อหาของข้อความของคุณ

สำหรับแอปพลิเคชันที่ปิดแหล่งที่มาอย่างสมบูรณ์ เช่น iMessage ของ Apple คุณต้องไว้วางใจนักพัฒนาอย่างเต็มที่เพื่อหลีกเลี่ยงข้อผิดพลาดด้านความปลอดภัยที่ร้ายแรง

เพื่อความชัดเจน โอเพ่นซอร์สไม่ได้หมายถึงการรักษาความปลอดภัยอย่างสมบูรณ์ แต่อย่างน้อย คุณก็สามารถแน่ใจได้ว่าแอป(app isn)ไม่ได้ซ่อนสิ่งที่น่ารังเกียจไว้ใต้ประทุน



About the author

ฉันเป็นผู้เชี่ยวชาญด้านคอมพิวเตอร์และทำงานกับคอมพิวเตอร์มาหลายปีแล้ว ฉันมีประสบการณ์กับทั้ง Apple iPhone และ Microsoft Windows 10 ทักษะของฉัน ได้แก่ การใช้คอมพิวเตอร์เพื่อสร้าง เข้ารหัส และจัดเก็บข้อมูล การค้นหาและแก้ไขข้อบกพร่องในซอฟต์แวร์ และการแก้ไขปัญหา ฉันมีความรู้ในทุกด้านของการใช้คอมพิวเตอร์ รวมถึง Apple iOS, Microsoft Windows 10, การป้องกันแรนซัมแวร์ และอื่นๆ ฉันมั่นใจว่าทักษะของฉันจะเป็นประโยชน์ต่อธุรกิจหรือองค์กรของคุณ



Related posts