群聊和联系人风险
活动中经常使用群聊。
它用于决定集合时间、共享资料、分配角色、发送紧急通知。群聊方便且快速,但参与者、联系方式、角色和消息历史会集中留在一个地方。
群聊就是活动本身的联系网络。
如果一个设备或账号暴露,所有相关人员都可能暴露。
群聊中留下的信息
群聊不仅包含消息正文,也包含许多周边信息。
| 信息 | 风险 |
|---|---|
| 参与者列表 | 显示谁参与其中 |
| 显示名和头像 | 可能显示真实姓名或脸部照片 |
| 电话号码 | 个人联系方式可见 |
| 消息历史 | 角色、计划、信念和关系会留下 |
| 共享文件 | 资料、照片、元数据会留下 |
在活动内部联络中,聊天本身会成为活动记录。
要一边考虑流出后的影响,一边运营。
群聊的危险在于信息被集中到一起。 单条发帖只包含一个人的信息。 但是聊天会把参与者列表、消息历史、角色、计划、资料和联系方式集中在一个地方。 如果一个账号暴露,活动结构就会显现出来。
管理员和核心成员的设备尤其重要。 他们的屏幕上可能同时有多个群、邀请链接、参与者姓名、文件和未读通知。 一个人的设备管理会直接关系到全体参与者的安全。
联系人同步的风险
很多消息应用会使用联系人同步。
当手机通讯录和账号连接起来时,真实姓名、电话号码和熟人关系可能暴露。
| 被同步的信息 | 风险 |
|---|---|
| 电话号码 | 与真实姓名或个人联系方式连接 |
| 设备上的联系人姓名 | 显示真实姓名或所属 |
| 共同熟人 | 关系可以被推测 |
| 头像 | 脸或日常账号可见 |
| 推荐 | 推荐联系人可能暴露关联 |
匿名活动使用的账号,重要的是不要混入平时的通讯录或实名个人资料。
联系人同步很方便,但也是容易破坏匿名性的功能。 仅仅注册电话号码,就可能让账号显示为推荐联系人。 设备通讯录中保存的姓名,可能影响应用侧显示或推荐。 如果继续使用实名头像或平时的显示名,匿名活动会与现实关系连接起来。
活动相关联络应准备不与平时通讯录混用的环境。 如果可能,分开活动用设备、活动用账号和活动联系人。 至少要确认联系人同步、头像、显示名和备份设置。
邀请链接和成员管理
邀请链接很方便,但如果流到外部,任何人都可能进入。
如果加入和退出管理松散,非相关人员也能读取对话或保存参与者列表。
| 邀请链接的处理方式 | 风险 |
|---|---|
| 发布在公开社交媒体上 | 不特定多数人可以加入 |
| 长期有效 | 旧链接也能让人进入 |
| 可以自由转发 | 扩散到意料之外的人 |
| 无需批准即可加入 | 无法确认参与者 |
| 没有退出者处理流程 | 过去日志和共享资料会留下 |
活动结束后或不再需要时,要停用邀请链接。
参与者追加应限制在必要范围内。
成员管理不仅要决定“谁能进入”,也要定期确认“现在谁在里面”。 活动持续时间变长后,退出的人、角色结束的人、已经无法联系的人容易继续留在群里。 如果放着不管,能看到过去日志和共享文件的人会不断扩大。
| 管理项目 | 目的 |
|---|---|
| 确认参与者 | 不留下不必要成员 |
| 设置邀请链接期限 | 防止从旧链接加入 |
| 限制管理员权限 | 防止未经授权的追加或设置变更 |
| 处理退出者 | 整理对过去日志和文件的访问 |
| 盘点共享资料 | 减少不必要的个人信息和内部信息 |
截图和转发
聊天内容很容易被截图。
即使有阅后即焚消息,如果用另一台设备拍摄,内容仍会留下。转发和复制也会发生。
| 会留下的东西 | 风险 |
|---|---|
| 屏幕截图 | 参与者姓名、时间、消息内容会留下 |
| 通知画面 | 姓名和部分正文可见 |
| 转发消息 | 上下文流到外部 |
| 共享文件 | 原始数据和元数据扩散 |
| 备份 | 历史记录留在云端 |
在聊天中,要假设写下的内容可能离开群组。
阅后即焚消息和限时查看文件有助于降低风险。 但是,它们本身并不会让事情安全。 如果对方用另一台设备拍摄屏幕,内容仍会留下。 如果消息正文出现在通知中,它会留在锁屏界面。 聊天历史也可能保存在云端备份中。
在聊天中写入重要信息前,要想“这真的可以留在这里吗”。 集合地点、个人地址、电话号码、内部资料、参与者名册、未处理照片,可能需要其他共享方式。
分开聊天角色
如果所有内容都放进同一个群聊,泄露时的损害会更大。 把整体告知、小范围运营联络、紧急联系、资料共享和支援渠道分开,会更容易限制可见信息的范围。
但是,分得过细会让管理困难。 要决定每个聊天中写什么、谁参加、哪些信息不应留下。 考虑匿名性和安全时,重要的是按信息范围分开聊天,而不是只为方便增加聊天。
检查设备和备份
群聊的安全不只由应用设置决定。 它也取决于参与者的设备、通知、屏幕锁、云端备份和同步目的地。
例如,如果消息正文显示在锁屏界面,附近的人可以看到内容。 如果聊天历史备份到个人云端,设备丢失或账号被入侵时,历史可能泄露。 如果有人在共享设备上的桌面应用保持登录,其他人可以看到历史。
| 要检查的事 | 理由 |
|---|---|
| 屏幕锁 | 防止设备丢失时被查看 |
| 通知显示 | 不在锁屏显示消息正文或姓名 |
| 云端备份 | 理解聊天历史保存在哪里 |
| 桌面端登录 | 不把历史留在共享或旧设备上 |
| 共享文件 | 确认原始数据或个人信息是否残留 |
群聊的安全取决于实践最薄弱的参与者。 即使很难要求所有人进行高级设置,也需要共享通知设置、显示名、联系人同步和备份的最低限度处理方式。
总结
群聊和联系人会显示活动中的关系。
参与者列表、显示名、电话号码、消息历史、共享文件和邀请链接,会暴露相关人员和活动结构。
联系人同步和实名个人资料,会把匿名活动与日常生活连接起来。
在群聊中,重要的是只加入必要的人,管理邀请链接,避免与实名联系人混用,并且只写入即使离开群组也能承受的信息。
相关工具
Tor Project
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。