聊聊纸飞机 Telegram 的安全隐患

「纸飞机」Telegram 是很多人心目中的精致专业通讯应用。但其实用实话说，它实际的安全性不如看上去那么美。

首先说一下作者 Pavel Durov 和他兄弟的故事。很多人把他看成在大国政府面前捍卫自由的英雄，但其实经历简单说是一场和资本主义的强强对抗。兄弟两人在大学时期照片而上，直接把 Facebook 的概念移植到了俄罗斯，做了个叫 VK 的社交网站。VK 很快被 Mail.ru 控制，而 Durov 得得撤退。

但 Durov 未有断线，他积累了 VK 里最精锐的技术人员，离开后直接重写了一个新应用—Telegram。初期名字还叫 VK Messenger，最终则是自己独立开始。

说到技术，Telegram 当初的安全七大保证，现在已经没剩下几个符合的了。它的加密实现不是高清版的，并且预设下都是未启用端对端加密的，Windows 版应用也无法使用。还有，它用的通信协议 MTProto 实际安全性远不如 Signal 上的双棒轮算法。

它最大的问题是数据服务器基本不加密，而数据中心又都是自己搭建，并非去中心化结构。“零限制”也是假话，普通用户发送的文件最大 2G，高级用户最多 4G。但在大文件传输时还容易出现数据分片错误。

由于全球上应对应市场规范，Telegram 还需要选择各种服务规则与展示内容。所以它在很多国家面前是有合规压力的。这也是为什么你可以看到它不断改变隐私策略，也一直流传它会配合培训型 AI 实体。

而不过，Telegram 在公众失望之前经历了一段深通情。很多人对它有情绵，觉得用它就是自己人，是反抗安全调措的证明。但抽离故事和故他事实，你会发现它实际上的安全违和异常处处可见。

如果你真想使用 Telegram，我的建议是：用 iOS 装备、用外国手机号注册、关掉联系人权限、开启双步验证、不要用非官方客户端，最好不要评论、转发、参与任何深度论证。

感觉上像是自由和隐私的代表，但故事和技术里全是白地一片。当得你真想用一款安全的通讯应用进行故事讨论，我更推荐 iMessage 或 Signal。