Line首度在日本總部舉辦一個資安高峰會,這也是該公司第一次針對Line App的各種資安保護措施,以及未來的資安應用趨勢,正式對外公開相關訊息。

圖片來源: 

Line

全臺灣人手一支智慧型手機,但要問哪一個App是大家手機內一定要安裝的程式,十個臺灣人應該有九個人跟你說是Line。畢竟,通訊軟體的使用就是要用的人數眾多,使用者才會更活躍,當大家都使用Line作為網路即時通訊的工具時,也同樣會迫使其他人,不得不跟上使用Line做為即時通訊軟體的這股風潮。

根據Line的官方統計資訊,目前在臺灣Line使用者高達1,800萬人,而全球每個月的活躍使用者更超過2億人。

因為這是針對普羅大眾的即時通訊App,許多人也因為沒有留心正確的資安防護觀念,輕信使用者端的另外一個人,也使得Line在臺灣包括日本在內,也經常發生一些帳號遭到盜用或者是遭到有心人利用Line進行詐騙,甚至是透過點選惡意連結,以至於下載不安全的應用程式等等。

為了解決Line在資安上面臨使用者的種種挑戰,該公司也一步步從通訊管道加密做到內容加密,甚至於,Line資安長暨隱私長中山剛志表示,為了要克服Line使用者帳號的種種安全性議題,也計畫在未來採用FIDO(Fast IDentity Online)聯盟所制訂的生物驗證技術標準,他則希望,這樣的FIDO推出的生物辨識的技術標準,未來可以用於確保Line App的安全性上,甚至也可以用於其他像是Line積極耕耘的物聯網領域以及相關的行動支付,例如Line Pay等服務的安全性上。

從三面向確保Line App的安全性

Line近年來也陸續從App及服務的安全性、安全的軟體開發生命周期,以及國家及區域的安全治理等三大面向,來打造Line的安全性。

中山剛志表示,Line針對一般消費者(B2C)以及針對企業用戶及其客戶(B2B2C)都提供不同的平臺與服務,如何確保相關服務具有一定的安全性,是該公司在提供相關服務時,所具備的基本底線。

再者,為了確保Line App本身是安全的,他指出,Line很早就開始導入安全軟體開發生命周期(SSDLC)機制。

中山剛志表示,從軟體規畫、設計、導入、品質控管和修正版本釋出後,這一整個新的安全軟體開發生命周期的循環,就可以做到讓Line App本身具有一定的安全性,也可以確保Line提供服務的安全性。

最後,則是國家和區域的安全治理,中山剛志表示,目前Line在韓國、日本、臺灣和泰國等國,都有大量的Line使用者,符合當地國和日本的法規等等,並確保使用者的帳號安全,都是Line的重要任務之一。

以安全的軟體開發生命周期為例,中山剛志表示,這對於軟體和App公司而言,是落實資安的基本功夫,在軟體設計之初,就必須要做到安全的設計(Secure By Design)和隱私的設計(Privacy By Design);而在軟體導入階段,就必須進行源碼檢測(Security Code Check);在品質控管階段就必須進行風險評估,確保沒有重大的風險沒有看到。最後,在整個版本完成安全的軟體生命周期之後,就會釋出一個修正過的安全軟體版本。

為了讓Line App更安全,中山剛志表示,Line成為全日本第二個推出漏洞獎勵計畫(Bug Bounty Program)的公司,相較於美國,這樣的漏洞獎勵計畫在日本並不盛行,但是,「Line希望可以結合更多白帽駭客的力量,讓Line成為一個更安全的App。」他說。

個人資料與隱私的保護是Line非常重要的使命,該公司也從技術層面、法規遵循層面以及提供相關的參考指南等三方面來著手進行。(圖片來源/Line)

透過機器學習機制打造智慧平臺

許多Line使用者也會遭遇到垃圾帳號騷擾或帳號遭到濫用的情況,中山剛志指出,目前Line也採用機器學習(Machine Learning)的方式,設定垃圾訊息的過濾規則,包括設定規則或者是啟發式的規則等,藉由過濾垃圾訊息或者是遭到濫用的Line帳號,先確保Line使用者帳號安全性。

另外,Line也提供檢舉垃圾廣告或色情訊息的功能,讓這些騷擾訊息可以回傳Line公司的客服中心進行分析,確認騷擾事件屬實時,將會暫停該使用者的Line帳號。

「Line的目標是希望成為使用者心目中安全的智慧平臺(Smart Portal),」中山剛志表示,最終希望讓每個網路使用者,都可以透過這個Line平臺,隨時隨地、安全的存取到所需要的個人、公司、服務以及品牌。

針對端點及內容加密,確保Line個人通訊隱私

如何保護Line使用者的隱私與個人者資料安全,也是Line在資安上非常重要的環節之一,Line會從技術層面、法規遵循層面,以及其他的參考指南等面向來著手進行。

從技術面上來看,Line已經可以做到使用者端的訊息加密功能,不論是一對一聊天,或者是50人內的聊天群組,甚至是一對一的網路語音、視訊的端對端的通訊方式,都已經可以做到訊息加密(Letter Sealing)。

「透過端點對端點的加密功能((End-to-End Encryption,E2EE),都可以做到對話的訊息內容不會輕易遭到外洩。」他說。

Line這種端對端的加密,就是在使用者設備上產生加密的金鑰,當雙方開啟傳遞訊息時,就會透過系統交換金鑰,並對每一個對話產生加密金鑰,確保這段對話,只有通話雙方才可以解讀。

因為是在使用者的行動裝置上產生的加密金鑰,就算聊天內容被第三方所攔截,因為沒有解密金鑰,也無從解讀這些加密內容。

當然,這樣的端點機制也可以用在Line群組中,中山剛志說:「根據Line的統計,目前有95%的群組人數都在50人以下,這也是為什麼Line在群組的端點加密機制中,設定50人的群組上限。」

除了Letter Sealing功能外,中山剛志表示,另外一個對個資和隱私保護很重要的技術就是LEGY(Line Event Delivery Gateway,Line訊息傳送閘道器)。

早期,Line的訊息仰賴HTTP進行傳送,但這種奠基在網頁瀏覽器上的HTTP通訊協定,相較於行動裝置並不友善,尤其是需要做到即時性的通訊軟體,更有牽涉到HTTP傳輸效率的問題,以及會因為同一個TCP連線無法平行傳送多個連線請求(Request)且無法依先後排序,造成傳輸效率不彰。

因此,Line改用新版SPDY通訊協定,來改善行動裝置上的傳輸速度以及安全性,並且由Line總部的研發工程師,自行開發API閘道器支援SPDY通訊協定,甚至後來用Erlang開發語言重新改寫SPDY通訊協定,打造出了Line現在使用的LEGY通訊協定。

中山剛志表示,從整個LEGY的通訊架構上來看,針對所有使用者裝置上的Line App連線到Line後端伺服器的同時,所有的資料傳輸都會先連線到LEGY閘道器。

這個時候,最重要的關鍵就是,當所有Line的連線都先連到這個閘道器後,可以降低原先使用SPDY的使用延遲外,也可以把所有的Line傳輸訊息,都先放到加密的TCP通道進行傳輸,可以確保傳輸速度以及內容加密安全性,不致於因為要內容加密導致通訊品質不良。

Line為了做到可以快速傳輸加密的內容,改寫原先正在使用的SPDY通訊協定成為LEGY通訊協定並設置LEGY閘道器,將Line傳輸訊息先放到加密的TCP通道中,確保加密訊息的傳輸速度。(圖片來源/Line)

使用者的通訊資料可以做到內容加密和傳輸加密外,中山剛志指出,因為現在各種行動裝置的資料還原技術也越來越普遍,為了確保使用者存放在手機上的資料,不會因為手機遺失或維修等情況,發生使用者因為各種資料還原軟體,導致相關個人資料外洩的情況。

所以,Line也提供「True Delete」(真實刪除)技術,在刪除資料時也用「Null」值寫入同一個儲存位置,確保資料真能完全刪除,甚至可以做到,一旦使用該技術刪除資料後,即便是Line官方技術人員。也無法使用任何方式來還原資料。

除了技術面的要求,日本也是法規遵循非常嚴格的國家。

中山剛志表示,日本除了有個人資料保護和隱私保護的法規要求外,也要符合日本落實秘密通訊的法規要求(Secrecy of Communication , in the constitution in the japan)。

但要落實保護資料者隱私的方式,Line進一步針對相關服務,提供各式各樣的技術白皮書,也包括各種的參考指南,甚至是在今年四月,更首度公布了各國政府向Line索取使用者個資的透明度報告等等。

中山剛志表示,Line的安全性除了確認身分之外,也從相關的技術演進,從實務面確認App本身的安全性以及提供服務的安全性。

當然,一個公司要能夠落地並且針對在地使用者提供所需要的服務,則是需要更多的公司治理和符合相關的法規遵循議題,才有辦法做到的。

使用者安全意識,才是確保Line帳號安全終極王道

在臺灣,經常會聽到許多人抱怨,身邊有朋友不是Line的帳號被盜用,就是有朋友相信,透過Line傳送需要借錢訊息的那一個對象,就是現實生活中原本就熟識的親友,也就不疑有他,沒有經過任何資訊的查證與確認,立馬將對方需要的金錢轉帳給對方。往往,這些使用者都是在錢已經轉帳之後,才發現自己是發生Line的詐騙事件了。

這樣的問題在臺灣經常發生,在日本其實發生的機率也不少,中山剛志認為,對於Line而言,除了要在技術層面確保相關產品和服務的安全性外,更重要的使命其實是提升使用者的資安意識,「唯有使用者具備足夠的資安意識,Line才能真正確保產品與服務是安全的。」他說。

因此,中山剛志表示,為了讓更多使用者知道如何確保Line帳戶的安全性,並且具有安全的概念,可以減少各種不必要的詐騙或風險,Line則和日本靜岡大學合作,針對全日本一千五百多所的國小、國中和高中生的學生、老師和家長,進行相關的資安教育訓練。

他表示,這個資安意識的教育訓練對象不僅是為了要提醒所有的一般使用者,應該要如何做到確保帳號的安全,也透過編纂相關的資安教材,以各種更淺顯易懂的方式,傳遞Line希望使用者可以落實的各種資安作為和正確的資安觀念。

他表示,目前這套Line編纂的資安教材只有日文版,未來不排除在其他各個有大量下載並安裝Line使用者的國家,翻譯這套資安教材並進行相關在地化的修改。

最終的目的無他,「只有當Line的使用者可以安全、安心的使用Line,該公司才能夠真正確保相關的產品和服務是安全的。」他說。

Line目前推出的種種安全機制,最主要的目的就是希望可以確保使用者的帳號安全性。

因此,中山剛志指出,不管Line如何持續強化所有保護帳號安全措施,以及確保內容通訊安全的機制,但最終的關鍵仍然是,使用者必須對自己所擁有的Line帳號,具有足夠的安全意識。

否則,中山剛志認為,「不安全的資安意識,就像是使用者把自己的ATM提款卡密碼交給其他人一樣,根本就沒有任何安全性可言。」。

 Line下一步:AI、機器人和物聯網 

Line資安長兼隱私長中山剛志表示,AI、聊天機器人(Chatbot)以及物聯網應用將是Line資安發展的下一步。

對於Line而言,現在的技術都是為了讓現在的產品和服務更安全,中山剛志認為,隨著網路和各種資安情勢變化多端,Line的下一步絕對和AI(人工智慧)、機器人(Chatbot)和物聯網的發展息息相關,而Line透過這些技術的研發,目的是確保使用者端對端之間的訊息傳輸內容的安全性,以及使用者對Line服務的信任。

他以Line推出的虛擬雲端AI語音助理Clova(Cloud Virtual Assistant)為例,透過分析Line本身各種服務所累積豐富的內容,可以進一步了解使用者的需求,再加上針對日本、韓國、印尼、泰國和臺灣等市場所累積的經驗,包括Line的語音聊天內容、Naver的搜尋技術、Line與Naver的各種服務與所累積的各種使用者行為資料等。

中山剛志表示,當這些資料和這個雲端AI平臺結合後,使用者就可以透過語音方式跟Clova提出各種需求,真正讓Line使用者進入後觸控、後顯示的時代。

「另外,聊天機器人的發展,也是Line未來關注的重點之一。」中山剛志指出,目前Line正在開發客服機器人,希望可以回答70%以上使用者的問題,剩下30%的問題在轉交人工客服處理;而語音助理Clova不僅是AI人工智慧的成果,預計今年夏天將在日本與韓國率先推出外,也是Line在推動聊天機器人的綜合成果之一。

Line資安長兼隱私長中山剛志表示,物聯網的應用是Line未來發展的重點之一,在日本東京總部辦公室中,只要啟動Line的Beacon功能,就可以到自動販賣機連線,透過Line Pay付款購買自動販賣機的飲料。


Advertisement

更多 iThome相關內容