巴西总统府内部通话被即时通讯软件语音消息功能截获 - 保密网

朋友们，今天聊的这个案例和每个人都在用的即时通讯软件有关。巴西总统府的工作人员在用即时通讯App发语音消息的时候，本来以为只有接收方才能听到，结果这些语音消息竟然在传输或播放过程中被人截获了，内容涉及到非常敏感的内部信息，后果很严重。

故事的经过是这样的。巴西总统府的工作人员在处理内部事务时，为了方便快捷，使用了一款市场占有率很高的即时通讯App来发送语音消息。这种App的语音消息功能大家都很熟悉，按住话筒说一段话然后松开手指就发出去了，对方打开就能听到。大家都觉得这个功能很方便，而且是端到端加密的，应该挺安全的。但问题就出在这里。他们使用的这个App虽然确实提供了一定程度的端到端加密，但接收方收到语音消息之后，在播放时如果手机本身的安全防护不够好，或者手机操作系统本身存在漏洞，这些语音消息就有可能被第三方恶意软件截获或者复制出来。具体来说，如果手机上不小心安装了恶意软件或者中了木马病毒，在语音消息播放时恶意软件可以同步录制手机的声音输出，或者直接访问App在手机本地存储的数据缓存目录，把语音文件整个复制出来带走。更有的人为了方便，把语音消息自动保存到了手机的相册或者文件管理里，这更加降低了恶意软件获取语音文件的难度。

分析一下泄密链路。问题的关键不在于即时通讯App本身的安全性，而在于接收方设备端的安全防护。第一，接收方的手机如果存在恶意软件或者木马程序，语音消息在播放的时候就可能被偷录。第二，如果手机操作系统本身就有安全漏洞还没有修补，或者App对语音文件的本地存储加密不够到位，恶意软件就可以直接读取语音文件。第三，很多人过于相信端到端加密的宣传，觉得只要用了加密的App就万事大吉了，但忽略了接收端一旦失守，再强的传输加密也没有意义。

这个案例给大家敲响了警钟。第一，不要以为用加密即时通讯App发语音消息就绝对安全了。端到端加密只能保护消息在传输过程中不被中途拦截，但它保护不了接收方手机上的安全问题。如果对方手机已经中毒，你的消息照样会泄露出去。第二，尽量不要用语音消息功能来发送特别敏感的信息，尤其是涉及商业机密、法律事务、公司薪酬这一类重要内容。如果需要讨论敏感话题，更为使用更专业更安全的沟通方式。第三，手机本身的安全防护一定要重视，定期杀毒查杀、及时更新操作系统、不从非官方应用商店安装App，这些基本的安全习惯任何时候都不能丢。

对于企业来说，这个问题更加值得高度重视。现在很多公司的员工都在用个人手机处理工作事务，通过即时通讯App发语音消息讨论业务细节，这就带来了很大的安全隐患。员工手机上的安全问题会直接影响公司的信息安全。建议企业为员工提供专门的工作用安全通信工具，同时做好移动设备的安全管理和员工安全意识培训。我们官网上有企业移动通信安全方案，可以帮助企业全面管理员工在使用通讯工具时的语音信息安全风险。