我们也该聊聊吗？微信MMTLS加密协议安全分析 (citizenlab.ca)

这篇来自公民实验室的报告分析了微信使用的主要网络协议MMTLS的安全和隐私属性，发现MMTLS是TLS 1.3的修改版本，但微信开发者对加密的修改引入了弱点。早期的微信版本使用了一种不太安全的自定义协议“业务层加密”，这种加密方式在现代微信版本中仍在使用。尽管研究人员未能完全破解微信的加密，但其实现与拥有10亿用户的应用程序的加密级别不符，例如使用确定性IV和缺乏前向安全性。报告还讨论了腾讯开发的自有域名查找系统NewDNS，该系统旨在对抗中国的DNS劫持问题，但其安全性仍待进一步研究。