在 Android 上使用 Beeper 发送 iMessage 很诱人,但并不安全。
我们可以通过此页面上的链接赚取佣金。
图片来源:杰克·彼得森
你可能见过一些在线嗡嗡声关于蜂鸣器,一种一体化解决方案,将所有消息应用程序整合到一个地方。 据该公司称,你不再需要为了与朋友、家人和工作保持联系而使用大量应用程序:使用 Beeper,你可以将这些聊天记录集中在一个地方,甚至可以通过 Android 向你的朋友发送 iMessage。
最后一点尤其具有革命性。 当然,仅通过一个应用程序向我所有的朋友发送消息固然很棒,但是在 Android 上使用 iMessage 的简单方法是什么? 金子。, 某物完全与我们都知道的标准 iPhone 不同,但绝不对平台上的任何人都会以绿色气泡的形式弹出。 极好的。
但事情是这样的:蜂鸣器绝对有效,而且这个能成为您的现实,但会以巨大的安全成本为代价。 在我看来,这是不值得的。
蜂鸣器的工作原理
尽管任务很复杂,蜂鸣器是一个非常简单的机器。 它由两部分组成:第一部分是客户端应用程序,可在 Mac、Windows、Linux、Chrome OS、iOS 和 Android 上使用。 这是您用来将各种聊天应用程序集中在一处的程序。 另一部分是服务本身,由 Beeper 在后端维护。
该服务建立在矩阵,一种开源、去中心化的消息传递标准。 与其他去中心化系统一样,Matrix 允许您自由地向其他人发送消息,无论您使用哪个平台。 你们都可以使用 Matrix,或者您可以创建一个“桥梁”将您的 Matrix 标准连接到他们选择的平台。这需要一些过去的专业知识,但 Beeper 使其与设置任何其他聊天应用程序一样简单。
当您使用 Beeper 设置新的聊天服务时,它会创建其中一个桥梁来将您的客户端连接到该应用程序。 桥的工作是来回中继消息,每个聊天平台都有自己的桥。 简而言之,这就是 Beeper 的基本工作原理。
Beeper 无法安全地处理大多数聊天应用程序的端到端加密
当然,当你将加密引入其中时,事情会变得更加复杂。 加密方式因平台而异,但有些服务(例如 iMessage、Signal 和 WhatsApp)是完全端到端加密 (E2EE) 的。 Beeper 本身是其他 Beeper 和 Matrix 用户之间的 E2EE:您发送给使用 Beeper 客户端或 Matrix 的某人的任何消息都受到保护。 好消息!
然而,好消息到此为止。 由于您的大多数朋友不会使用 Beeper,因此您需要将消息从 Beeper 直接发送到他们选择的平台。 在这个例子中,让我们重点关注 iMessage,因为很多人可能会对 Beeper 感兴趣,因为它在 Android 上使用 Apple 的消息协议,但这里的大部分要点也适用于 WhatsApp 和 Signal。
为了让 iMessage 在 Beeper 上启动并运行,您需要授予 Beeper 访问您 Apple 帐户的权限。 这本身就是一个巨大的安全风险,您的 Apple 设备会立即向您发出警告:当您将 Beeper 连接到 iMessage 时,您将收到一条安全警报,表明其他位置的某人正在尝试登录您的 Apple 帐户。 这是 Beeper 的 Mac 电脑之一,如果您想将 iMessage 桥接至 Beeper 客户端,则需要授予其权限。 有些人可能认为这是一笔值得的交易,但我在这里划清了界限。
但这并不是安全问题的结束。 当您从 Beeper 向 iMessage 上的联系人发送消息时,该消息会在您的设备上加密并发送到 Beeper 的网络服务,解密并重新加密,然后发送给您的朋友。 基本上,Beeper 必须先“打开”你的 iMessage 才能发送。 这是该服务正常运行所必需的,因为 iMessage、WhatsApp 和 Signal 等平台具有专有的加密协议,无法与 Beeper 或 Matrix 等其他平台进行通信。 然而,它是一个巨大的安全缺陷,因为它破坏了这些服务所基于的 E2EE。
当您在 iPhone 上向朋友发送 iMessage 信息时,除了你们两个之外,任何人都不会看到该消息。 解密和读取该消息的唯一方法是您有权访问其中一台已连接的设备。 对于所有拦截者来说,从有趣的模因到你的社会安全号码,一切看起来都像是一堆难以理解的数学的混乱集合。 这就是 E2EE 的作用。
通过解密 Beeper 服务器上的消息,Beeper 的员工可以读取您的消息。 但即使他们发誓永远不会查看用户的消息,也没关系,因为如果 Beeper 被黑客攻击,坏人将能够访问所有传入和传出的 iMessage。 (我向你保证,他们会读取它们。)当然,一旦消息被处理并重新加密,除了预期的各方之外,没有人可以读取它们,但是中间的薄弱环节违背了整个“端到端”设计的目的。
想象一下你的客厅里有一只老虎。 你在你的卧室里,那里没有老虎,你需要去浴室,那里也没有老虎。 正因为这两个房间可以免受老虎的袭击,并不意味着与老虎一起穿过房间到达那里是安全的。 当然,有一个养虎人发誓他们会把这个东西挂在链子上。 但如果有人偷偷溜进去,悄悄地放了老虎,那只老虎将可以访问您未加密的 iMessage。
蜂鸣器在加密方面并不全是坏事
故事更适合数据已存储在 Beeper 的服务器上,所有这些都是加密的。 这包括您的消息历史记录。 蜂鸣器无法读取此数据因为这是E2EE。 访问它的唯一方法是使用您在创建帐户时收到的恢复代码。 这允许您安全地访问其他设备上的数据,也意味着如果您丢失此密钥,Beeper 无法帮助您恢复此数据。
未来也充满希望:Beeper 提到,新的欧盟立法将迫使 Apple 和 Meta 等公司创建可互操作的端到端加密 API。 简而言之,这一变化可以让像 Beeper 这样的服务在其桥上保留 E2EE,这将使您的 iMessages 在传输过程中受到保护。 然而,就目前情况而言,该服务并不安全:它采用受保护的消息传递协议并将其暴露给任何想要查看的人。 您可能认为在 Android 上使用 iMessage 值得冒这个风险,但对于任何重视隐私和安全的人来说,Beeper 并不是一个明智的选择——至少现在还不是。
