微信自定义加密协议受到审查

多伦多大学公民实验室的研究人员最近对微信的加密技术进行了调查，发现了一些可能存在的安全漏洞。微信每月有超过 10 亿用户登录，它运行的是定制版的传输层安全（TLS）1.3 协议，他们称之为 MMTLS。

微信的加密分为两层：

1. 业务层加密：加密明文内容
2. MMTLS：在传输前对已加密内容进一步加密

即使有了这两层加密，研究人员还是遇到了一些问题：

• 业务层加密会使重要的元数据（如用户 ID 和请求 URI）得不到保护。
• MMTLS 使用确定性初始化向量 (IV)，这有悖于推荐的加密实践。
• 没有前向保密功能，而这对保持长期安全至关重要。

2016 年之前，微信只对其请求使用业务层加密。添加 MMTLS 本是为了修补漏洞。不过，研究人员表示，尽管微信通过增加内部加密的攻击难度提高了应用的安全性，但对于如此大规模的应用来说，它仍然没有完全达到现代加密标准。

报告指出了中国科技界存在的一个更大的问题：开发者通常会自建加密系统，而不是使用 TLS 1.3 或 QUIC 等知名协议，而这些自建系统的安全性通常较低。

公民实验室认为，腾讯（微信的母公司）应转向标准的 TLS 设置，或使用 TLS 和 QUIC 组合来提高安全性。