为什么俺不用 Telegram,兼谈墙外聊天工具的隐私问题

by Resistance, at 18 December 2019, tags : 隐私 安全上网 点击纠错 点击删除
使用CN2/CN2GIA顶级线路,支持Shadowsocks/V2ray科学上网,支持支付宝付款,每月仅需 5 美元
## 加入品葱精选 Telegram Channel ##

        ★写在前面

        大伙儿应该都用过聊天工具(为了打字省力,以下简称 IM)。由于墙内的 IM 都是【实时监控】滴,加上天朝 IT 公司的屎性,不可能保护用户隐私,因此本文聊的都是【墙外】的 IM 软件。本文主要讨论的是——有没有办法【匿名】使用 IM。
        在墙外的 IM 中,各方面评价比较好的,应该是 WhatsApp 和 Telegram,很多人都拿这两个 IM 进行对比。在 6 月份香港爆发“反送中”抗议活动后,大量香港人从 WhatsApp 换成了号称“注重安全和隐私”的 Telegram。
        那么,Telegram 真的像它所宣传的那样“注重隐私”吗?其他墙外 IM 软件又有哪些问题?

        ★Telegram 介绍

        俺偷个懒,直接贴出维基百科的介绍:
       

        Telegram 是跨平台的即時通訊软件,其客户端是自由及开放源代码软件,但服务器是专有软件。使用者可以相互交換加密與自毁訊息,傳送相片、影片等所有類型檔案。官方提供手機版(Android、iOS、Windows Phone)、桌面版(Windows、macOS、Linux)和網頁版等多種平台用戶端;同时官方开放应用程序接口(API),因此擁有許多第三方的客户端可供選擇,其中多款內建中文。

        ★Telegram 的缺点

        Telegram 的【易用性】做得非常好,安全性也比较高。但是 Telegram 没有【隐匿性】。

        ◇需要【绑定手机】

        编程随想在《近期安全动态和点评(2019年2季度)》提到:

        编程随想注:
  俺以【匿名身份】开博已经十多年。期间有很多热心读者建议俺开通 Telegram 或 WhatsApp,以便更好地与读者交流。每次都被俺婉言谢绝了。
  如今香港的这个案例,再次凸显出 Telegram 在【隐匿性】方面的风险——因为 Telegram 需要【绑定手机】。说得更直白一些:任何需要绑定到手机的网络工具(不管是 IM 还是邮箱),都会大大降低你的【隐匿性】。
  正是由于这方面的风险,当俺以“编程随想”这个身份进行网络活动时,【绝不】使用任何需要绑定手机的网络服务。

        由于 Telegram 需要绑定手机,因此只要你拥有这个手机号,你就可以【完全控制】这个 Telegram 帐号。包括换绑、设置“两步验证”、注销帐号等。**一定要保证拥有对绑定的手机号的控制权!**在下面还会聊到手机号与匿名的问题。

◇自动获取联系人

(本文发出后一段时间,有人提到墙内有 Telegram 群主被抓,补充这一小节)
由于 Telegram 要求绑定手机,它自然也会扫描你的【联系人列表】,并自动导入他们的号码,方便你通过 Telegram 联系他们。
这样的直接风险是:一旦有某个联系人绑定的是墙内手机号,而你没有隐藏自己的号码,那么你的号码也就暴露了。
俺之所以没有聊到这一点,主要原因是因为大伙儿的安全意识不至于太差,应该会意识到这个问题。不过捏,既然下面有同学提出来,俺就补充进来。

        ◇难以隐藏时间信息

        Telegram 默认显示你的【最后上线时间】,别人可以通过【在线时间】推测你的活动规律,这也会构成某种信息量。
        有的同学可能会说:Telegram 可以设置隐藏自己的最后上线时间。
        首先,你需要手动设置。其次,“最后上线时间”仅对“私聊”和“个人资料”有效,在某些群组里,可以看到有人正在输入的提示,仍然会暴露此人的在线时间。
        另外,无论你怎么设置,Telegram 在“私聊”和“群组”对话中,都会有“已读提示”,也就是“两个对勾”,同样会暴露“在线时间”(至少包括:在某个时间段内,有人看过这条消息)。

        ★手机号与隐私问题

        手机号分为“实体手机卡”和“虚拟号码”(VoIP)两种,下面聊聊这两种手机号的隐私问题。

        ◇实体手机卡的隐私风险

        俺猜测 Durov 不知道【手机实名制】。注意并非天朝才有,德国、韩国、日本、台湾等地方也有类似规定。虽然民主国家搞这套东西并不会用来作恶,但是仍然有泄露个人隐私的风险。大伙儿应该还记得韩国取消【网络实名制】的原因吧?
        即使是【匿名手机卡】,如果你通过“实体店”购买,支付过程很难保持匿名。目前唯一可行的方法是:买一张【预付费卡】,用【现金】一次性支付足够的费用,以后不再充值。

        ◇VoIP 的隐私风险

        下面聊一下“虚拟号码”(VoIP)的问题。由于需要支付,在【匿名】的前提下,很难搞到【时限较长】的号码。而免费的 VoIP 为了防止滥用,使用时限通常很短,大多数是一个星期左右。
        如果你有一段时间不使用绑定的 VoIP 号码,别人注册拿到了这个号码,就可以登录你的 Telegram,完全控制你的帐号。经过俺的测试,即使设置了“两步验证”(无论是否有恢复邮箱),只要绑定的号码在俺手里,俺就可以直接【重置】绑定的 Telegram 帐号。
        有同学可能会说:使用 Google Voice 绑定就可以了。Google Voice 可以免费申请,它的“时限”是 9 个月。
        现在 Google Voice 已经很难申请了,不像前两年还可以用脚本刷,据说需要【真实美国手机号】才能申请成功。如果上“淘宝”之类的网站购买,就无法保持匿名。
        此外,使用 VoIP 还要被 Telegram 官方【删号】的风险。现象是帐号被注销(显示 Deleted Account),与真正的注销帐号不同的是:用户名被占用(别人无法使用这个用户名,但是输入用户名找不到对应帐号)。

        ★其他主流 IM

        除了 Telegram,墙外还有不少知名的 IM。俺接下来通过“是否需要绑定手机”进行分类,分析这些 IM 的隐私风险。

        ◇需要绑定手机

        除了 Telegram,目前 WhatsApp、Signal、同样需要【绑定手机】。这些 IM 的隐私风险与 Telegram 相同。

        ◇可选绑定手机

        目前 Riot、Wire 可以选择绑定手机或邮箱。根据俺的使用体验,它们的“易用性”做得还不够好,客户端也有一些问题。
        Discord  也可以绑定邮箱或邮箱。俺目前没有用过 Discord,俺对商业公司的 IM 产品保持警惕。

        ◇不需要绑定手机

        这类 IM 通常是【去中心化】滴,由于没有中心服务器,通常是由客户端注册帐号,不需要绑定邮箱或手机。
        这类 IM 有 Tox、BitMessage 等。可惜它们的“易用性”还是不够好。

        ★理想的 IM

        可能有同学会问:你对目前的所有 IM 都不满意,那你用什么 IM?
        俺的回答是:很遗憾,到目前为止,还没有出现让俺完全满意的 IM。
        俺认为的理想的 IM 是:Telegram 的易用性 & 跨平台支持+Tox的隐匿性+Riot 的安全性+Bridgefy(断网也能用)的“结合体”。

        ★结尾

        通过这篇文章,俺简单地分析了 Telegram 的隐私风险,希望能引起大伙儿对 IM 隐私问题的重视。如果你有更好的 IM 欢迎推荐,俺不胜感激 :)

品葱用户 约定的美丽岛 评论于 2019-12-18

Discord, Gmail即时聊天

Discord应该可以设置频道权限,用户在聊天主频道发言前需要先通过管理员考试,可以一定程度保证exclusive

品葱用户 **Mion_Sonoda

约定的美丽岛** 评论于 2019-12-18

Discord, Gmail即时聊天Discord应该可以设置频道权限,用户在聊天主频道发言前需要先…

是的,discord对色情也比较宽松

品葱用户 民小一个 评论于 2019-12-18

感觉很实用,已关注。
话说具体重置绑定账号是什么意思。
我的账号是使用VoIP注册的,前几天有IP在印度的人尝试使用验证码登入我的账号,但是没有通过两步验证。那么他可以借助VoIP重置我的账号吗

品葱用户 Philadelphia 评论于 2019-12-19

我点了反对,因为我觉得telegram 还是比较安全的,号码可以隐藏,而且虚拟号码很多,根本不用担心。

品葱用户 民小一个 评论于 2019-12-18

再推荐一篇文章,讲如何获得一个虚拟的一次性手机号码
https://www.iyouport.org/4款最佳一次性手机号码应用:适用-android-iphone/
顺道推荐一下这个网站,它提供了很多实用的技术

品葱用户 **Resistance

约定的美丽岛** 评论于 2019-12-19

Discord, Gmail即时聊天Discord应该可以设置频道权限,用户在聊天主频道发言前需要先…

俺写文章时还想评论一下 Discord,后来忘了。俺还没用过 Discord,对于商业公司的产品,俺会保持警惕。
俺会在后面的文章聊 Gmail 和其他邮箱的隐私问题。

品葱用户 n07_3x 评论于 2019-12-18

wire可以用邮箱注册来着,也是端到端加密的。

品葱用户 **Resistance

民小一个** 评论于 2019-12-19

感觉很实用,已关注。话说具体重置绑定账号是什么意思。我的账号是使用VoIP注册的,前几天有IP在印度…

只要你拥有这个手机号,就可以【完全控制】绑定的 Telegram 帐号,设置“两步验证”也可以重置,不需要知道密码。大多数是立即重置,有的要等一个星期。

品葱用户 **Resistance

Philadelphia** 评论于 2019-12-18

我点了反对,因为我觉得telegram 还是比较安全的,号码可以隐藏,而且虚拟号码很多,根本不用担心…

你大概没有认真看“VoIP 的隐私风险”这一节。
俺用 VoIP 注册 Telegram,分别遇到了“未设置密码被别人注销帐号”、“设置密码被官方删号”、“设置密码被别人重置帐号”(延迟 7 天)。最后俺决定不再使用 Telegram。

品葱用户 **民小一个

Resistance** 评论于 2019-12-19

你大概没有认真看“VoIP 的隐私风险”这一节。俺用 VoIP 注册 Telegram,分别遇到了“…

请具体讲讲被人强制重置是什么意思,我现在很担心我的账号被人强制重置

品葱用户 admin 评论于 2019-12-18

编程随想很有可能就藏在我们之中

品葱用户 **Resistance

民小一个** 评论于 2019-12-19

请具体讲讲被人强制充值是什么意思,我现在很担心我的账号被人强制重置

突然退出登录,然后这个帐号就不是你的了,联系人和聊天记录全部消失,一切重新开始。
你现在需要做的就是尽快换绑新手机号,而且保证这个号码在你手里,否则有可能再次发生。

品葱用户 **被注册新用户

admin** 评论于 2019-12-18

编程随想很有可能就藏在我们之中

得。編程隨想如果被抓你負責。

品葱用户 vpxuz 评论于 2019-12-18

匿名邮箱+加密邮件,Tox,Bridgefy 目前技术条件下的首选

品葱用户 **Resistance

admin** 评论于 2019-12-19

编程随想很有可能就藏在我们之中

编程随想在博客评论区说过,他【没有】注册品葱:https://program-think.blogspot.com/2019/11/weekly-share-139.html?comment=1574576045778

品葱用户 **Resistance

n07_3x** 评论于 2019-12-19

可以用邮箱注册来着,也是端到端加密的。

俺用了几个月 Wire,也拉了几个较熟的 Telegram 网友。Wire 的缺点是:客户端有一些问题,没有表情包,群组功能很弱。

品葱用户 Avalon 评论于 2019-12-18

Wire本来非常理想,在瑞士,开源,端对端加密。

但是前阵子被曝光接受了一笔来自Morpheus Ventures的超过800万美元的风投,变成了一家美国公司,而Morpheus Ventures的主要业务是客户数据分析。并且Wire在今年早些时候与FedResults建立了合作关系,还偷偷地修改了隐私政策。

如果对隐私、匿名和安全非常看重的话,现在不建议再使用Wire。

BTW:虽然同样需要手机号注册,但是Signal的安全性高于Telegram。

品葱用户 黑杰克 评论于 2019-12-18

乍一看标题我还以为是编程随想,后来一想他好像没有写过类似的文章,仔细一看才发现是编程兄的粉丝。

品葱用户 **Resistance

Avalon** 评论于 2019-12-19

Wire本来非常理想,在瑞士,开源,端对端加密。但是前阵子被曝光接受了一笔来自Morpheus Ve…

Wire 的“易用性”不够好,俺前阵子已经注销了帐号。

品葱用户 **Avalon

Resistance** 评论于 2019-12-19

Wire 的“易用性”不够好,俺前阵子已经注销了帐号。

安全和易用永远不可兼得,Wire现在的问题已经不是易用性了。

品葱用户 **Resistance

黑杰克** 评论于 2019-12-18

乍一看标题我还以为是编程随想,后来一想他好像没有写过类似的文章,仔细一看才发现是编程兄的粉丝。

俺引用的文章片段里面已经提到了,编程随想【不】使用任何需要【绑定手机】的平台。而且他【没有】注册品葱(前面有评论区的链接)。

品葱用户 **民小一个

Resistance** 评论于 2019-12-19

突然退出登录,然后这个帐号就不是你的了,联系人和聊天记录全部消失,一切重新开始。你现在需要做的就是尽…

哦哦,我研究了研究,除非别人掌握了VoIP并且能登入我的tg账号才能进行注销(因为登入注销网站的验证码是通过tg发送至用户的)。所以我的账号应该没有被注销的危险

品葱用户 **Resistance

民小一个** 评论于 2019-12-19

哦哦,我研究了研究,除非别人掌握了VoIP并且能登入我的tg账号才能进行注销(因为登入注销网站的验证…

有号码就可以控制你的 Telegram 帐号,重置不需要知道“两步验证”的密码,更不需要去官网注销帐号。重置的效果【等同于】注销帐号+重新注册。

品葱用户 **keyeyes

Resistance** 评论于 2019-12-18

你大概没有认真看“VoIP 的隐私风险”这一节。俺用 VoIP 注册 Telegram,分别遇到了“…

如果你无法控制某个虚拟电话号码,那么你应该自我注销掉它关联的电报帐号。这是你使用不当,和电报是否安全没有任何关系。

品葱用户 **Resistance

keyeyes** 评论于 2019-12-19

如果你无法控制某个虚拟电话号码,那么你应该自我注销掉它关联的电报帐号。这是你使用不当,和电报是否安全…

俺认为这是 Telegram 的设计缺陷,尤其是拥有手机号的人能重置设置了“恢复邮箱”的帐号。
如果你认为这不是“安全风险”,怎么解释官方无故删号?

品葱用户 **keyeyes

民小一个** 评论于 2019-12-19

请具体讲讲被人强制充值是什么意思,我现在很担心我的账号被人强制重置

楼主危言耸听而已……注册电报的虚拟号码过了活动期,被系统收回,发放给另一人。那人用这个虚拟号码注册电报,结果把楼主踢下去了,谁的锅?如果楼主的注册的电报在主动销毁后,某人用同样的虚拟号码注册电报,登录后获取了楼主原本应该全部删除的对话记录(因为电报号已注销),那才是电报的锅。

品葱用户 **keyeyes

Philadelphia** 评论于 2019-12-19

我点了反对,因为我觉得telegram 还是比较安全的,号码可以隐藏,而且虚拟号码很多,根本不用担心…

TG做到了安全性、易用性的结合,是比较流行的保护隐私的聊天工具,足以满足一般的需求。

品葱用户 **Resistance

keyeyes** 评论于 2019-12-18

TG做到了安全性、易用性的结合,是比较流行的保护隐私的聊天工具,足以满足一般的需求。

前面跑题了,本文要表达的是:需要绑定手机的 IM 【没有】隐匿性。
你们对隐私的要求不高,像俺这种对隐私要求非常高的人,是不会使用绑定手机的服务滴。

品葱用户 包包大叔 评论于 2019-12-18

google voice 九个月?之后就过期了么

品葱用户 **Resistance

包包大叔** 评论于 2019-12-19

google voice 九个月?之后就过期了么

不使用会被回收,发短信或者打电话可以保号。

品葱用户 **包包大叔

Resistance** 评论于 2019-12-18

不使用会被回收,发短信或者打电话可以保号。

接短信行么,哈哈,不想花钱

品葱用户 **Resistance

keyeyes** 评论于 2019-12-18

楼主危言耸听而已……注册电报的虚拟号码过了活动期,被系统收回,发放给另一人。那人用这个虚拟号码注册电…

如果没有设置【两步验证】,被别人注销帐号不奇怪;
如果设置了【两步验证】还能被别人重置帐号,这本身就有问题;
使用 VoIP 可能会被官方无缘无故删号,【没有】任何解释,这是谁的问题?

品葱用户 **keyeyes

Resistance** 评论于 2019-12-18

如果没有设置【两步验证】,被别人注销帐号不奇怪;如果设置了【两步验证】还能被别人重置帐号,这本身就有…

既然电报是用手机号注册的,电报认为此时持有该手机号的应是该手机号关联电报的正当使用者(使用者,非所有者),有什么问题?二步验证只是为了防止运营商级别的入侵,或者短信的泄漏,如果某人拿着手机号申诉无法使用电报,官方见他是号码的实际拥有者,将帐号重置(而不是直接转交),有什么问题?电报本身是存在超期自注销的机制的,从来没有申明会永久保留帐号。类似虚拟帐号注册电报后,便将原来的虚拟帐号弃之不顾,连间歇性登录从而保持持有都做不到,怪谁?电报官方极少限制用户的使用,无限容量的上传空间,无期限的多终端聊天记录同步,开销无疑巨大,官方对注册门槛极低的虚拟号码进行不同于其他注册号码的滥用控制及回收机制,有什么问题?如果你想正常的使用电报,用个匿名的实体卡,不拖欠话费,然后再详细浏览一遍隐私设置,一点问题都不会有。

品葱用户 **Resistance

keyeyes** 评论于 2019-12-19

既然电报是用手机号注册的,电报认为此时持有该手机号的应是该手机号关联电报的正当使用者(使用者,非所有…

俺在本文提到,“匿名手机卡”很难做到真正的【匿名】。根源在 Telegram 必须【绑定手机】,如果品葱要求你在注册时绑定手机号,你还会注册吗?

品葱用户 一毛不拔 评论于 2019-12-19

同意,墙内的战友们尽量多考虑下人身安全,最好别用IM工具。

敏感话题只在品葱说,微信啥的只聊风花雪月岁月静好。

实在要在IM聊敏感话题的,托信得过的朋友买海外的不记名电话卡和帮忙用现金充值吧。

品葱用户 何方刁民状告本官 评论于 2019-12-20

文风和编程随想这么像

品葱用户 Tommypance 评论于 2019-12-20

不注册电话号码的话很容易被dns攻击和肉鸡,黑客直接刷一个小时就能刷爆你主服务器,像品葱这样万人的小站还好防守,telegram那种上千万的站攻击一次得损失多少钱!?????

品葱用户 **keyeyes

Resistance** 评论于 2019-12-20

俺在本文提到,“匿名手机卡”很难做到真正的【匿名】。根源在 Telegram 必须【绑定手机】,如果…

我用品蔥,是因爲我要發表一些牆內不允許的言論;如果我要用電報進行高危的操作,我會重啓一個和已有電報隔離的新號。你的對電報最大的誤區是,企圖用高危人士的需求,卻要求獲得正常用戶的體驗。對於高危用戶來講,更換帳號是再平常不過的事情。

品葱用户 **Resistance

keyeyes** 评论于 2019-12-19

我用品蔥,是因爲我要發表一些牆內不允許的言論;如果我要用電報進行高危的操作,我會重啓一個和已有電報隔…

你提到说:

對於高危用戶來講,更換帳號是再平常不過的事情。

俺【不】赞同。
高风险人士是不会用【绑定手机】的服务滴,因为增加了【暴露身份】的风险。

品葱用户 **keyeyes

Resistance** 评论于 2019-12-20

你提到说:俺不认同。高风险人士是不会用【绑定手机】的服务滴,因为增加了【暴露身份】的风险。

。。。抱拳

品葱用户 祖国之光 评论于 2019-12-20

无记名电话卡到处都有卖的。只是用来注册账号,根本不需要充值。就算是充值,也可以买充值卡啊。

品葱用户 Elizabeth 评论于 2019-12-21

我喜欢 Telegram,号码是 Google Voice,用比特币购买的。每隔几个月我都会发条短信给 cloudflare 的 DNS over SMS 服务,以防止号码闲置被回收。

活跃时间有第三方的TG的Ghost模式防止泄漏。

按照以上的方法,Telegram 经营频道比起推特、自建博客更安全,Telegram 是一个有大量中文反贼的地方,交流密切的同时注意来自中国官方的危险以及民间网络黑社会组织即可。

品葱用户 韭非葱安之葱之乐 评论于 2019-12-20

文风很有编程随想的style啊。你不会是大神本人吧?🤫

品葱用户 **Benzene

韭非葱安之葱之乐** 评论于 2019-12-20

文风很有编程随想的style啊。你不会是大神本人吧?🤫

高仿,蹭编程随想的文风避免查水表,一个猜想

品葱用户 **Resistance

Elizabeth** 评论于 2019-12-21

我喜欢 Telegram,号码是 Google Voice,用比特币购买的。每隔几个月我都会发条短信…

两年前 Google Voice 是个不错的选择,俺最早的 Telegram 帐号绑定的也是 Google Voice,那会儿 Google Voice 还能用脚本刷,现在注册新的 Google 帐号也要绑定手机。

品葱用户 **Resistance

Benzene** 评论于 2019-12-21

高仿,蹭编程随想的文风避免查水表,一个猜想

俺这个帐号连高仿都不算,品葱有个高仿帐号 @編程隨想 。

品葱用户 **admin

Resistance** 评论于 2019-12-20

俺这个帐号连高仿都不算,品葱有个高仿帐号 。

要不俺给你加个Cosplay的头衔,免得总有天真的同学认错人。

品葱用户 **ronga

Philadelphia** 评论于 2019-12-20

我点了反对,因为我觉得telegram 还是比较安全的,号码可以隐藏,而且虚拟号码很多,根本不用担心…

(以前2018年前)极少数免费虚拟号码提供商支持使用Tor注册获得虚拟号码和日常登录使用;PC端的Telegram可设置走Tor网络进行注册与使用。移动端几乎所有app軟體界面基本没有【网络与代理】的选项可供配置走Tor线路,这也可能是斯诺登先生为啥说手机本来就不安全的因素之一吧。
可惜现在在Tor环境下基本全都不再可注册获得号码了。
全球有实干行动力且有资本的人又蠢蠢欲动,反不公的权势资源资本垄断,尽可能维护促进社会公平、公正、公开、透明的进行竞争上岗的人,反只是停留在口头上(口炮党)完全没从小事做起日积月累的思想。
践行的基础设施都没有人牵头来做起来,供活动家使用。整天只知道叽歪且无理无据无逻辑关联性的三无人员就知道吹吹牛,骗骗收视率广告费。
能在Tor网络注册和使用的Web版虚拟号码,同样也可以赚钱(如拉拢广告商展现广告等方式)。
社会越社会公平、公正、公开、透明运作,当大部分人都是公平竞争凭实力技能本领竞争上岗上线,那么这世界就会少许多怨气与事件,即使输也输得心服口服,激励人努力下次赢回来,相互激励相互促进,社会方可更高效运转,每个人才能不断挖掘潜能。
@编程随想的博客评论区26楼4单元

品葱用户 **ronga

Philadelphia** 评论于 2019-12-21

我点了反对,因为我觉得telegram 还是比较安全的,号码可以隐藏,而且虚拟号码很多,根本不用担心…

始终都是在Tor网络下注册并使用的虚拟号码才具有匿名性,涉及到付费的都有可能会被溯源追踪(技侦+刑侦),站长/其他在海外的人如果资金可以,可以考虑让外国人代持(如果担心安全的话)申报组建个非营利性机构来弄这些基础设施,供有需要的人使用。现在那些曾经支持Tor注册的虚拟号码提供商,全部以被恐怖分子滥用为借口,限制Tor Browser下注册使用。
@admin @admin8964

阁下如果想藏匿踪迹好,效果最好的估计就只有那些支持在Tor Browser注册创建获得免费虚拟号码的提供商了。
线上还可以考虑使用数字货币(如比特币),混币后再在深网进行交易购买虚拟号码,至于如何相对安全购买加密货币并洗币请参考@币圈奇葩8964 《如何购买比特币?如何安全匿名地使用?》但始终涉及到支付交易,无论怎么样都或多或少对隐匿性都有所损害。
线下现金购买呢又奈何现实社会太多摄像头和担心商家记录号码有留底做手脚进行追踪。

品葱用户 **ronga

祖国之光** 评论于 2019-12-21

无记名电话卡到处都有卖的。只是用来注册账号,根本不需要充值。就算是充值,也可以买充值卡啊。

始终都是在Tor网络下注册并使用的虚拟号码才具有匿名性,涉及到付费的都有可能会被溯源追踪(技侦+刑侦),站长/其他在海外的人如果资金可以,可以考虑让外国人代持(如果担心安全的话)申报组建个非营利性机构来弄这些基础设施,供有需要的人使用。现在那些曾经支持Tor注册的虚拟号码提供商,全部以被恐怖分子滥用为借口,限制Tor Browser下注册使用。
@admin @admin8964

阁下如果想藏匿踪迹好,效果最好的估计就只有那些支持在Tor Browser注册创建获得免费虚拟号码的提供商了。
线上还可以考虑使用数字货币(如比特币),混币后再在深网进行交易购买虚拟号码,至于如何相对安全购买加密货币并洗币请参考@币圈奇葩8964 《如何购买比特币?如何安全匿名地使用?》但始终涉及到支付交易,无论怎么样都或多或少对隐匿性都有所损害。
线下现金购买呢又奈何现实社会太多摄像头和担心商家记录号码有留底做手脚进行追踪。

品葱用户 **祖国之光

ronga** 评论于 2019-12-21

始终都是在Tor网络下注册并使用的虚拟号码才具有匿名性,涉及到付费的都有可能会被溯源追踪(技侦+刑侦…

比如,我在伦敦路边的售货机,投入现金,买了几张电话卡。电信公司的员工加货的时候,就是从盒子里抓一把电话卡直接摆进去。连电信公司自己都不知道在哪个售货机放了哪个号码的。他怎么知道你买的电话号码是什么?

品葱用户 庆元春屑 评论于 2019-12-22

关于voip,事实上我曾用免费的号码去注册telegram但是被两步验证卡住了,客户端上也没有找到直接进行重置的按钮,不知道作者您是怎么进行重置的,需要给客服写邮件吗?

品葱用户 **Resistance

庆元春屑** 评论于 2019-12-21

关于voip,事实上我曾用免费的号码去注册telegram但是被两步验证卡住了,客户端上也没有找到直…

选择“接收短信”,然后左下角会有重置按钮。
俺有一段时间没用 Telegram 了,不排除新版有改动的可能。

品葱用户 **DuckDuckGo

Philadelphia** 评论于 2019-12-21

我点了反对,因为我觉得telegram 还是比较安全的,号码可以隐藏,而且虚拟号码很多,根本不用担心…

Telegram可以反查手机号(上周有个机场圈子就反查出了一个人tg国外号,之前也见过

品葱用户 DuckDuckGo 评论于 2019-12-21

俺跟大伙说个事:如果近期上telegram发现有人跟你加密对话,而对方什么话也不说,很大可能是被国安查了。这段时间有个BUG,对方跟你加密通话后就能拿到你的当前原始网络环境,包括wifi、流量、你现在上网的本地IP、你的地理位置等。一旦被查了就全部信息都泄露了,俺提醒大伙要小心。

还有对方用这种方法查讨论政治的人,因为有反馈的人都是和政治有关的。所以很大可能就是国安那些人了。上次还有个出5k让我导出我的一个群的所有聊天记录(群成员删除也可以看到的),但是俺肯定不会给滴。而且已经有多名telegram群群主反馈有此事,看来国安渗透越来越深啦,大伙要注意哦!

品葱用户 **DuckDuckGo

DuckDuckGo** 评论于 2019-12-21

俺也不知道怎么办到的,还有大伙记得前段时间的一个漏洞是telegram能查到对方的原始IP吗?如果经常混telegram技术圈的人应该有知道滴

品葱用户 你的炸酱面 评论于 2019-12-22

一般的支那屁民在墙外皮几下,还够不上赵家人翻个眼皮。如果要达到你说的那种时间线都要隐匿的东西,那得是什么级别的反贼?支纳维基皮成那样,支共也就对那几个人说教了事。

品葱用户 裤裆里有大菠萝 评论于 2020-02-08

令完成吗?哈哈哈,跟郭这网红完全两种情况

品葱用户 aNexpOR 评论于 2020-02-11

WhatsApp吧,tg没怎么用,毕竟圈子在里面。

品葱用户 **pinming

Philadelphia** 评论于 2020-02-20

我点了反对,因为我觉得telegram 还是比较安全的,号码可以隐藏,而且虚拟号码很多,根本不用担心…

文中还有个风险没有提到,如果用的是日常号码,即使隐藏了,但手机通讯录上的联系人还是可以轻易找到你。
而且这个选项好像无法关闭

品葱用户 李舜生 评论于 2020-02-21

好文章

品葱用户 CONGWOLF 评论于 2020-02-22

比较下来,还是TG现阶段最合适了吧,都有优点和缺点,没有完美的工具

品葱用户 **缸砸皿

何方刁民状告本官** 评论于 2020-02-22

文风和编程随想这么像

哈哈哈,这篇文章我之前就看过来···作为一个普通人,我用telegram足够啦·····

品葱用户 亲自吃饭 评论于 2020-02-21

这样的话,闭嘴是不是就是最好的保护隐私的方法?实际情况恰恰相反,土共最想说的就是:为了保护你的隐私,请闭嘴吧。

这篇文章的核心就是:请不要说话

品葱用户 **kk9315

pinming** 评论于 2020-02-21

文中还有个风险没有提到,如果用的是日常号码,即使隐藏了,但手机通讯录上的联系人还是可以轻易找到你。而…

在去年9~10月時Telegram官方對有關問題作出了修改,樓主的這一部份應該沒有依照最新版來編寫。
目前Nobody can see phone number +Turn off & Delete Sync Contact是可以斷絕手機聯絡人<->Telegram之間的連接。同時Telegram方面附加了新增聯絡人的上限,會監察和Ban可疑用戶。

有關報導(路透社)
https://www.reuters.com/article/us-hongkong-telegram-exclusive/exclusive-messaging-app-telegram-moves-to-protect-identity-of-hong-kong-protesters-idUSKCN1VK2NI

品葱用户 反党积极分子 评论于 2020-02-22

我的目的是加密自己的聊天内容,不是加密“我是谁”,im永远做不到完全匿名,你保护了自己不能保证你的好友也保护了自己,只要有一个好友被突破,所谓匿名都是笑话。我用telegram是出于即使被发现也无法取证的角度来使用的,我拥有这个账号不可怕,可怕的是说过什么话

品葱用户 **包子

Resistance** 评论于 2020-02-22

不使用会被回收,发短信或者打电话可以保号。

如果仅仅使用数据流量不打电话和短信呢

品葱用户 **pinming

kk9315** 评论于 2020-02-21

在去年9~10月時Telegram官方對有關問題作出了修改,樓主的這一部份應該沒有依照最新版來編寫。…

谢谢,但我没有找到“Turn off & Delete Sync Contact”的选项。
“新增聯絡人的上限”也没有解决我的问题,不做其他改变的话,我的手机联系人还是能看到我的账号。
关于你提到的报导,似乎是TG做出修改之前的报导,“The fix Telegram is working on would allow users to disable matching by phone number.” 但并没有真实做出这样的修改。

按我现在的理解,如果做出了正确的设置,并且从来不误操作的话,应该没问题。但在多个界面下,TG鼓励用户去match手机联系人,太容易误操作了。
就应该有一个简单的不允许其他用户通过手机号找到自己的选项。这点TG好像连微信都不如。。

品葱用户 **pinming

kk9315** 评论于 2020-02-21

找到了Delete Sync Contacts.
但发现了更多的问题。。
操作完之后,本来match的联系人好像只显示通讯录名称和头像,现在反而显示TG名、username和头像了。。
总之TG在这个地方的处理应该算是很失败吧。。

品葱用户 **kk9315

pinming** 评论于 2020-02-22

谢谢,但我没有找到“Turn off & Delete Sync Contact”的选项。“新增聯絡…

在Privacy and Secuity版面下拉至iOS: Data Settings / Android: Contacts, 先關Sync Contacts再按Delete清除記錄即可(不影響現有的聊天窗口),關閉後是能做到相關效果。

比如說A和B兩人互相加了手機聯絡人,Telegram設定都是Nobody can see Phone number / My Contacts can find my number。
而A: 關閉Sync Contacts並清除記錄 / B: 開啟Sync Contacts
這樣A能從Telegram找到B,但B是找不到A的。

當然最安全還是找即用即棄的太空號,不要以實名制的手機號碼登記。

品葱用户 **kk9315

pinming** 评论于 2020-02-22

找到了Delete Sync Contacts. 但发现了更多的问题。。操作完之后,本来match的…

因為不再從你的通訊簿上傳資料了。

品葱用户 Luke 评论于 2020-02-21

很认同,部分朋友严重高估了telegram的安全性……
看好tox,希望开发团队在未来能进一步完善其功能并且推出更易用的客户端。

品葱用户 **pinming

kk9315** 评论于 2020-02-21

在Privacy and Secuity版面下拉至iOS: Data Settings / Andr…

按我的理解,A关闭Sync之后,也找不到B了才对吧。。
不过这不重要,重要的是应该有个 简单的不允许其他用户通过手机号找到自己的选项

品葱用户 **pinming

kk9315** 评论于 2020-02-22

因為不再從你的通訊簿上傳資料了。

是的,我理解,但这样的处理很有问题。
可以保持,可以删除,可以有别的更复杂的逻辑,但TG直接就把你曝光了。。

品葱用户 **胡锡退

Luke** 评论于 2020-02-21

很认同,部分朋友严重高估了telegram的安全性……看好tox,希望开发团队在未来能进一步完善其功…

tox客户端现在不好用吗?

品葱用户 **Luke

胡锡退** 评论于 2020-02-22

tox客户端现在不好用吗?

现在不知道,当初我使用的时候连群组功能都没有。

品葱用户 **kk9315

pinming** 评论于 2020-02-21

是的,我理解,但这样的处理很有问题。可以保持,可以删除,可以有别的更复杂的逻辑,但TG直接就把你曝光…

未能暸解這個疑慮…不好意思。
其實也不能強求啦,隔壁帖子也有蔥油推薦Signal和Tox的,看個人取捨。
我自己是不參與群組只開1對1加密對話減低風險。但牆內情況始終比較嚴峻,有懷疑就換一個吧。

品葱用户 bigfishball 评论于 2020-02-22

我来说说我的推荐吧!

购买一台群晖的NAS服务器(不需要性能很好,两盘位即可)

使用A类域名绑定,并且Let’s Encrypt生成SSL证书,客户端链接使用https

IOS商店就有Synology Chat
而安卓版的话,是使用FCM进行推送(华为/小米的Push都已经集成在安卓版的Synology Chat客户端中,但是,不安全!不安全!因为经过mipush或者hwpush的消息内容是明文展现在push服务器的)

而windows/linux/macos,均有群晖官方制作的客户端

所有客户端到群晖nas的流量,均为https,gfw识别出来,也是正常的网页浏览。

https://images.weserv.nl/?url=https://i.imgur.com/NVSRGLI.png

谈谈缺点:

1.最佳方案,是把nas放在墙外,如果做不到,放在墙内也可以,但是聊天内容会保存在nas上
2.需要可靠的人开设这个服务器,因为聊天内容、链接ip都是可显的。当然,这个方法适合熟悉的群体使用。
3.账号需要手工一个一个开设,无法实现自动注册。

品葱用户 **Philadelphia

pinming** 评论于 2020-02-21

文中还有个风险没有提到,如果用的是日常号码,即使隐藏了,但手机通讯录上的联系人还是可以轻易找到你。而…

禁止telegram访问通讯录

品葱用户 **pinming

Philadelphia** 评论于 2020-02-22

禁止telegram访问通讯录

是的,正如我上面所说,如果正确的设置,并且从来不误操作的话,应该没问题。
但在多个界面下,TG鼓励用户去match手机联系人,太容易误操作了。

TG的逻辑是,你不给我访问通讯录,我就不帮你匹配,这样别人就找不到你。
复杂混乱而不周密,不是蠢,就是通过产品设计鼓励用户允许自己被找到,以便增强熟人社交的属性。

更好的逻辑应该是,用户直接可以设置,让别人找不到自己,简洁明了。
但这样,估计大多数用户都会设置成不允许自己被找到,TG就很难做熟人社交了吧

品葱用户 **ericqx

pinming** 评论于 2020-02-23

[quote][/quote]

品葱用户 **ooo0o0000

bigfishball** 评论于 2020-02-24

我来说说我的推荐吧!购买一台群晖的NAS服务器(不需要性能很好,两盘位即可)使用A类域名绑定,并且L…

阁下是在推荐一锅端的方案?

品葱用户 **bigfishball

ooo0o0000** 评论于 2020-02-23

阁下是在推荐一锅端的方案?

服务器在海外、管理员靠谱的情况下这个是最好的方法了吧
毕竟万一Telegram里有内鬼,这才是一锅端。

当然,前提是小众使用,几个好友,可以无障碍聊天

品葱用户 小君撫 评论于 2020-02-24

楼主是编程随想本人?

品葱用户 liying910 评论于 2020-02-25

我就在用电报啊   感觉还不错

品葱用户 **killccp

admin** 评论于 2020-02-25

编程随想很有可能就藏在我们之中

掩护我方随想,或许人人都是

品葱用户 **Resistance

pinming** 评论于 2020-02-26

文中还有个风险没有提到,如果用的是日常号码,即使隐藏了,但手机通讯录上的联系人还是可以轻易找到你。而…

感谢补充,俺已经更新文章。

品葱用户 **Resistance

亲自吃饭** 评论于 2020-02-25

这样的话,闭嘴是不是就是最好的保护隐私的方法?实际情况恰恰相反,土共最想说的就是:为了保护你的隐私,…

不要见得风是得雨,没有任何这个意思。

品葱用户 **Resistance

kk9315** 评论于 2020-02-26

在去年9~10月時Telegram官方對有關問題作出了修改,樓主的這一部份應該沒有依照最新版來編寫。…

俺有快一年没用 Telegram,当然不晓得最新版是怎样滴,还请谅解。

品葱用户 **Resistance

Luke** 评论于 2020-02-25

很认同,部分朋友严重高估了telegram的安全性……看好tox,希望开发团队在未来能进一步完善其功…

在俺的印象中,Tox 的群聊不会保存聊天记录,对安全是个好事。

品葱用户 畅言慎行 评论于 2020-04-30

俺以前拜读过R大佬的这篇文章,今天看到又被顶上来了,于是挖个坟。
俺草草浏览了一下楼层,发现没人提到一款【老牌】IM——XMPP。
具体多老牌捏?可以追溯到上世纪90年代。
这款IM可以说是Riot的前生,【分布式】、【加密讯息】这些招式,都与XMPP极其相似。
况且,它【不】需要提供任何个人信息,也方便Tor隐匿使用,客户端种类及其多样。支持【OTR】、【PGP】等加密方式。
再看看R兄的要求:

Telegram 的易用性 & 跨平台支持+Tox的隐匿性+Riot 的安全性+Bridgefy(断网也能用)

貌似除了最后一项,其他都能够符合(易用性可能差一点)。

最后提个安全贴士:编程随想曾经【不】建议使用IM,因为即时通讯【很】容易让人放松警惕!

  1. 一对一的私密对话,不同于论坛等“公开场合”下更注意自己的言行,肯定会有所放松。
  2. 发消息无法像写博客、写评论这样斟酌字句,再加上要即时回复,一不留神,很容易“祸从口出”!

尤其是在闲谈的环境下,更容易大意麻痹(pi)。
因此,随想从来不使用IM。
*另外,拿俺亲身经历可以验证。~俺曾经真用IM与他人攀谈,真的套出不少俺想要知道的信息:)~ 俺不是网警:(

品葱用户 赛博理想国 评论于 2020-05-01

现在的telegram(2019年9月份5.11版本更新后)设置好任何人都不能通过手机号找到你了,而5.11版本更新这个功能就是为了防止香港人被黑警抓。
简单来说只要设置:
Who can see my phone number为Nobody;
Who can find me by my number为My contacts;
把Sync contact关掉;
选择Delete synced contacts。
这样设置后即使之前有联系人,设置后就算联系人也没办法通过查找手机号知道你的telegram号和这个手机号的关系,如果你之前没添加过可疑的联系人,那就更不可能被找到了。(就算只设置了前两步,没有可疑联系人也没事,而且telegram对于+86手机号很贴心,验证码内容只是code:xxxx,而不是其他地区的telegram code:xxx)
另外对于端到端通信查ip,只有在打telegram电话时才会发生,只需在calls里的Use peer-to-peer with选泽Nobody就可以避免暴露ip。至于加密对话是不会暴露ip的,因为数据实际上还是经过服务器,只是服务器拿不到密钥罢了。
同时扫描通讯录这一点,telegram是为了让你方便的查别人的账号(如果他设置Who can find me by my number为My contacts你也差不到),和别人能否查到你无关,若感到敏感可以不给权限。
总的来说只有可能通过上线时间查你的行为,所以作为反贼软件还是很安全的。

品葱用户 **Resistance

畅言慎行** 评论于 2020-05-01

[

俺以前拜读过R大佬的这篇文章,今天看到又被顶上来了,于是挖个坟。俺草草浏览了一下楼层,发现没人提到一…

](https://pincong.rocks/article/item_id-364762#https://pincong.rocks/article/item_id-364762#")
XMPP 的易用性还是比不上 Telegram。
而且此类开放协议(包括:XMPP、Matrix、Tox)的 IM,客户端/服务端未必实现了所有功能。
俺现在正在逐步淡出社交网络,几乎不用 IM 了。

品葱用户 Summer89 评论于 2020-05-19

现在该用什么呢?我觉得之前MSN其实很好,可是后来就销声匿迹了,现在国外聊天工具比较有保护隐私口碑的可能也就是电报了吧?如果有人知道请推荐。

品葱用户 **一只bug

Summer89** 评论于 2020-05-18

[

现在该用什么呢?我觉得之前MSN其实很好,可是后来就销声匿迹了,现在国外聊天工具比较有保护隐私口碑的…

](https://pincong.rocks/article/item_id-381538#https://pincong.rocks/article/item_id-381538#")
signal

品葱用户 **hkfool

韭非葱安之葱之乐** 评论于 2020-05-18

[

文风很有编程随想的style啊。你不会是大神本人吧?🤫

](https://pincong.rocks/article/item_id-169355#https://pincong.rocks/article/item_id-169355#")
不要猜啦, 让编程随想自由的多飞些时间吧。

品葱用户 **Resistance

Summer89** 评论于 2020-05-18

[

现在该用什么呢?我觉得之前MSN其实很好,可是后来就销声匿迹了,现在国外聊天工具比较有保护隐私口碑的…

](https://pincong.rocks/article/item_id-381538#https://pincong.rocks/article/item_id-381538#")
Matrix、Discord、Wire 这几款 IM 无需绑定手机,你可以考虑。~虽然有人认为它们也存在隐私问题。~

品葱用户 nominewu 评论于 2020-05-18

一开始是谁把Telegram保护隐私吹成神的?

需要手机号注册,你注册个“习包子倒台”,使用默认设置。加过你电话号码的人如果也有telegram帐号,一看,哇,联系人中新注册了一个“习包子倒台”,反动,分分钟把你举报给共产党特务

还隐私保护

品葱用户 **pinming

ericqx** 评论于 2020-02-23

~已删除~

点击品葱原文参与讨论

最简单好用的 VPS,没有之一,注册立得 100 美金
comments powered by Disqus

See Also

为什么俺不用 Telegram,兼谈墙外聊天工具的隐私问题

★写在前面 大伙儿应该都用过聊天工具(为了打字省力,以下简称 IM)。由于墙内的 IM 都是【实时监控】滴,加上天朝 IT 公司的屎性,不可能保护用户隐私,因此本文聊的都是【墙外】的 IM 软件。本文主要讨论的是——有没有办法【匿名】 …

【重要安全提示】截图可能带来的严重安全隐患

【重要安全提示】截图可能带来的严重安全隐患 拓展阅读:去谷歌搜索“不可见水印”,了解更多技术层面的内容 另外:不可见水印抓人已经发生过了:去谷歌搜索“月饼事件 不可见水印” (搜索结果含有墙内网站链接,建议使用tor浏览器) 现在很多图片含 …

Win系统如何正确选择各种替代国内软件的干净程序?

品葱用户 忠獻張 提问于 11/28/2019 听从各位葱友以及编程随想的建议,专门购入了一台干净的无后门电脑,并采用多层匿名来进行网络活动和反贼生活。 但是在如此选择后,像俺这样的小白面临了一个比较苦恼的问题:如何选择各种替代国内软件的产 …

如何购买比特币?如何安全匿名地使用?

***开头说明,我币圈人不欢迎洗钱,赵家人请出门左转,qqqxx*** ***警告:请立即将bisq更新到最新版本!记得PGP验证签名!v1.2.9和之前的版本有安全漏洞!!!*** 购买比特币(Bitcoin, BTC): 可以网上搜索。 …