如何:在 Android 上使用 WhatsApp

目前我們並不推薦使用 WhatsApp 進行加密通訊。完整的說明請參閱這裡。 

我們特別擔心 WhatsApp 在 2016 年 8 月所發布的一項新隱私政策:分享資料給母公司 Facebook。這讓 Facebook 可以存取 WhatsApp 使用者許多資訊,包括 WhatsApp 的電話號碼和使用資料。

在隱私政策切換期間,現有的 WhatsApp 使用者有一段寬限期可以改變設定,防止 Facebook 建議朋友或基於 WhatsApp 資料提供廣告。但是,新帳戶無法拒絕這些資料的擴展使用。新使用者只能決定要不要加入 WhatsApp,接受 WhatsApp 的新隱私政策和資料共用。雖然 WhatsApp 向使用者保證不會直接將資料提供給廣告商,但該政策已對 WhatsApp 使用者如何分享和使用資料的控制權,明顯構成了威脅

另外,我們也很擔心 WhatsApp 的網頁應用程式。雖然 WhatsApp 為使用者提供 HTTPS 加密的網頁界面來發送和接收訊息,但是跟所有網站一樣,每次訪問該網站時都必須載入瀏覽所需的資源。如此一來,即使瀏覽器支援加密網頁應用程式也可被輕易修改,以在載入特定頁面時夾帶惡意程式,而將您的所有訊息傳送給第三方。

WhatsApp 仍然提供端對端加密,它能確保訊息能由原始發送者轉為加密訊息,並且只被其最終接收者解密。我們對於這種加密方式沒有意見。事實上,我們希望 WhatsApp 使用的加密協定 Signal Protocol 在未來變得更加普遍。但儘管 Signal Protocol 盡了最大的努力,我們仍然對 WhatsApp 的安全性感到擔憂。

如果您仍想使用 WhatsApp,請參閱下面的教學課程,並確保關閉雲端備份並打開指紋更改通知 (請參閱「其他安全設置」部分)。

WhatsApp 是一個應用程式,可讓行動裝置上的使用者以端對端加密進行通訊,使用者即可在 WhatsApp 安全地聊天、互相打電話、發送檔案,進行多人聊天。雖然 WhatsApp 以手機號碼當作聯絡人,但由於加密通話和訊息是使用您的數據連線,所以通訊雙方的行動裝置都必須有網路連線,WhatsApp 使用者也不會因此產生 SMS 和 MMS 費用。

WhatsApp 屬於 Facebook。由於該應用程式本身是封閉源碼軟體,這讓外部專家很難確認該公司是否已經以安全的方式實行了加密。儘管如此,WhatsApp 用來發送加密訊息的方法是公開且被視為安全的。

在 Android 手機上安裝 WhatsApp Anchor link

步驟 1:下載並安裝 WhatsApp

在您的 Android 裝置上進入 Google Play 商店並搜尋「WhatsApp」。選擇 WhatsApp Inc 的 WhatsApp 應用程式。

點擊「安裝」 (Install) 後,您會看到一些 WhatsApp 需要存取才能正常運作的 Android 功能。點擊「接受」(Accept)。

WhatsApp 下載完成後,點擊「打開」(Open) 啟動應用程式。

步驟 2:註冊並驗證您的電話號碼

首先,您必須接受 WhatsApp 的服務條款和隱私政策。

WhatsApp 將請求存取您的手機聯絡人。如果您授予此存取權限,WhatsApp 將會取得您完整的手機通訊錄。如果您不授予此存取權限,您仍可以手動新增聯絡人以傳送訊息,但是您將無法打電話給對方。如果您想發送照片、影音或檔案,Whatsapp 也會請求存取這些檔案。

如果你想授予這些權限,請點擊「繼續」(Continue),然後點擊「允許」(Allow)。

您將看到的畫面如下:

輸入您的手機號碼,然後點擊指向右的箭頭。您將看到一個驗證對話方塊:

點擊「確定」(OK)。為了驗證您的電話號碼,系統會發送一個六位數代碼的簡訊給您。此時,您可能會看到一個對話方塊,表示 WhatsApp 正在請求存取您的 SMS 訊息。如果您點擊「允許」(Allow),WhatsApp 將在您收到代碼並完成註冊後自動識別。如果點擊「拒絕」(Deny),您將必須手動檢查您的簡訊應用程式來取得代碼,並將其輸入到如下所示的對話方塊中:

在接下來的幾個畫面,系統可能會詢問您是否要將訊息備份到 Google 雲端硬碟。為了確保未加密的備份不會發送給 Google,請選擇「從不」(Never),然後點擊「完成」(Done)。

使用 WhatsApp Anchor link

要使用 WhatsApp,您要發送訊息或通話的對象必須安裝 WhatsApp。

開始新的加密對話時,您將看到通知如下:「此對話中的訊息和對話已進行端對端加密,點擊獲取更多資訊。」這時,您可以驗證交談對象身分的真實性,以確保他們的加密金鑰沒有被竄改,或者在您的應用程式下載金鑰時被換成別人的 (此過程稱為金鑰驗證)。驗證是一種過程,您必須實際出現在交談對象面前。您可以點擊該通知 [1],或點擊頂部的選單按鈕 (三個直排的點) [2],然後點擊「查看聯絡人」[3],在接下來的畫面點擊綠色鎖頭圖示 [4]:

請您的聯絡人在他們的手機上也進行一樣的過程。接下來的畫面標題為「驗證安全碼」(Verify security code)。

您會看到一串 60 個數字。您可以人工讀出這些數字,確認它們是否與您的聯絡人號碼一致,或讓聯絡人掃描出現在此畫面的 QR 碼以進行驗證。

另一種您可能會考慮使用的驗證方法,是將數字擷圖並使用第二個安全管道 (如 PGP 加密的電子郵件) 傳送。

完成這個步驟後,您就可以放心,與這個聯絡人的加密通訊確實只能由您和您的聯絡人存取。這個方法同時適用於 WhatsApp 中的文字訊息以及語音通話。

其他安全設定 Anchor link

顯示安全通知

如上所述,如果聯絡人的加密金鑰因為什麼原因而發生變化,您可能會希望收到此變動的通知。

一般來說,金鑰改變是不用擔心的:這通常是由於重新安裝應用程式或換手機所致。然而,金鑰改變也有可能是因為惡意第三方進行攔截式攻擊。所以,如果您的聯絡人的金鑰發生變化,最好再進行一次驗證 (如上所述)。WhatsApp 的系統預設不會顯示聯絡人金鑰更改。要啟用此功能,請進入設置→帳戶→安全性 (Settings→Account→Security),並將「顯示安全通知」(Show security notifications) 向右滑動:

Google 雲端硬碟備份

如上所述,您可能會想確保未加密的備份不會發送給 Google。

前往設置→對話→對話備份 (Settings → Chats → Chat Backup),確認關閉雲端備份。在「備份至 Google 雲端硬碟」(Back Up to Google Drive) 下,選擇「從不」(Never):

上次查閱: 
2016 年 10 月 13 日