儘管在注重隱私的使用者中廣受歡迎,Telegram(新視窗) 通訊平台仍持續受到技術專家的質疑。

Symbolic Software 於 2025 年 10 月發表的一份報告(新視窗),目前再次受到關注(新視窗),並為這場爭論添了柴火。該報告主張 Telegram 的設計允許網路中間機構將透過 Telegram 傳送的訊息連線到特定裝置,進而得以在現實世界中追蹤特定個人。

隨著 Telegram 創辦人兼執行長 Pavel Durov 於 2024 年在法國因 多項指控(新視窗)被捕,人們的疑慮也隨之加深,指控聲稱他未能打擊其平台上的詐騙、毒品販運、組織犯罪以及宣傳恐怖主義等行為。雖然他否認指控並已獲釋(新視窗),但他仍持續接受調查。

那麼,使用 Telegram 安全嗎?正如我們將在本文中探討的,這很大程度上取決於您如何使用它。

什麼是 Telegram?

Telegram 是一款開放原始碼、基於雲端的訊息傳遞應用程式,可讓您傳送文字訊息、語音訊息、照片、影片和各種檔案。它由 Pavel 和 Nikolai Durov 兄弟於 2013 年推出,他們也是俄羅斯社群網路服務網站 VK(新視窗)(原名 VKontakte)的創辦人。

Telegram 目前聲稱擁有超過 10 億名月活躍使用者,極受歡迎,這在很大程度上歸功於人們普遍認為它高度安全。而一些政府(尤其是印尼、俄羅斯和伊朗)試圖封鎖或禁用該應用程式,更加深了這種觀念。

Telegram 的用途是什麼?

Telegram 可以作為一對一或群組的私密通訊工具使用,非常類似於 WhatsApp(新視窗)Signal(新視窗)。然而,真正讓 Telegram 脫穎而出的是建立公開「頻道」的功能。

使用者可以在頻道上建立並發佈內容,這可以吸引無限數量的訂閱者。這項功能在審查嚴格的國家特別受歡迎,例如在伊朗,儘管政府極力封鎖存取,Telegram 仍擁有超過 4,000 萬名使用者。

公開頻道可以使用別名和唯一的網址來建立,允許任何人訂閱。這使得 Telegram 成為組織反抗活動和傳播資訊的有效平台(但也有可能被用於一些不良目的)。

Telegram 有多安全?

Telegram 因使用端對端加密而聞名,但這種層級的加密並未在所有使用情境中啟用,且預設並未開啟。許多最受歡迎的 Telegram 功能(例如頻道)並未經過端對端加密,這意味著該公司可以查看應用程式中的大部分使用者資料,使其容易受到監控和資料外洩的影響。

Telegram 安全性資訊圖表

Telegram 對我有多少了解?

要使用 Telegram,您必須使用真實的行動電話號碼進行註冊。Telegram 會要求存取您手機的聯絡人,以尋找您可能認識的其他使用者,或者您也可以透過電話號碼手動新增其他 Telegram 使用者。

Telegram 會詢問您的名字(但不會進行驗證),而提供姓氏則是選填的。

Telegram 加密

所有 Telegram 通訊(無論是否為 E2EE,我們將在下文討論)都使用內部開發的 MTProto 協定進行保護。最初的 MTProto v.1.0 已被棄用且目前正逐步淘汰,曾因容易受到一些相當簡單的攻擊而遭到安全專家批評(新視窗)。然而,MTProto 2.0(新視窗) 已被正式證實(新視窗)在密碼學上是安全的。

用於保護對話安全的加密金鑰被分割成多個碎片,分散儲存在 Telegram 自身的安全全球雲端基礎設施中,且絕不會與其保護的資訊儲存在同一個地方。

Telegram 是端對端加密的嗎?

Telegram 支援「秘密對話」。這能為一對一的文字、語音和視訊對話提供端對端加密 (E2EE)。

進一步瞭解端對端加密(新視窗)

但是(這是一個非常重要的「但是」):

  • 群組對話和頻道無法進行端對端加密
  • 一對一對話在預設情況下並未進行端對端加密。「秘密對話」必須針對每個對話手動啟用(因此沒有全域選項),且值得注意的是,秘密對話選項並不太明顯。 

Telegram 會收集中繼資料嗎?

根據其隱私權政策(新視窗),Telegram「可能會收集中繼資料,例如您的 IP 位址、裝置、您使用過的 Telegram 應用程式、使用者名稱變更歷史記錄等。如果收集了這些中繼資料,最多可保留 12 個月。」

正如前國家安全局 (NSA) 和中央情報局 (CIA) 局長 Michael Hayden 曾說過(新視窗)的:「我們根據中繼資料來殺人」,而這是一筆不容忽視的中繼資料量(尤其是對您 IP 位址的記錄)。

中繼資料也是 Symbolic Software 報告所引發疑慮的核心所在。該報告發現,儘管訊息內容本身可能已得到有效加密,但隨每條訊息傳送的持久性裝置識別碼卻沒有。當與行動網路數據以及已記錄且受資料保留法管轄的其他資訊結合時,這個被標記為 auth_key_id 的識別碼,根據組織犯罪與貪腐舉報計畫(新視窗)的說法,將允許 ISPs、網路管理員和國家行為者等網路中間機構,追蹤特定 Telegram 使用者的活動與行蹤。

正如網路安全分析師 Paul Walsh 在 LinkedIn 上所寫(新視窗):「監控流入和流出 Telegram 伺服器之流量的營運商,可以比對兩端封包的時間和大小,並將對話中的兩個裝置進行配對,同樣不需要讀取任何一個字。」

Telegram 方面則駁斥了最新的指控。「任何能看到您 auth_key_id 的觀察者,也都能看到您的 IP 位址、您連線的伺服器名稱、您的流量模式、您的 DNS 查詢等。在一棟主要由玻璃建成的建築中,隱藏一個頻繁更換的識別碼,不過是關閉了其中一扇窗戶而已。」它在寄給推廣該報告的 OCCRP 合作夥伴 Important Stories 的一份聲明(新視窗)中如此寫道。

Telegram 有多安全?取決於您如何使用它

除了對 Telegram 收集多少中繼資料有一些揮之不去的疑慮外,端對端加密的一對一「秘密對話」可能是安全的。請記住,這些必須手動發起 —— 預設情況下,一對一對話是不安全的。值得注意的是,許多其他應用程式(例如 Signal 甚至 WhatsApp)都提供了相同層級的功能,但預設即採用 E2EE。

讓 Telegram 脫穎而出(也是其大受歡迎的主因)的是頻道,而這些頻道(以及群組對話)使用起來並不安全。在沒有端對端加密的情況下,Telegram(或任何可以施壓 Telegram 或取得其系統存取權限的人)可以讀取此類對話中張貼的所有內容。而且,由於所有 Telegram 使用者都是透過其真實電話號碼進行識別(這些號碼可以對頻道上的其他使用者隱藏,但對 Telegram 是可見的),因此他們很容易被識別出來。

儘管存在這些問題,Telegram 仍然非常受歡迎 —— 特別是在一些限制嚴格的國家,許多人依賴該平台獲取客觀新聞並進行組織。雖然我們建議使用更安全的選項,但 Proton VPN 可讓您存取 Telegram,即使在獨裁政府試圖封鎖它的地方也是如此。總結來說:

Telegram 安全嗎?

雖然有時很有用,但 Telegram 並不安全,應極其謹慎地使用:

  • Telegram 著名的群組對話並未進行端對端加密 (E2EE),因此並不安全
  • 一對一對話可以單獨使用 E2EE 進行保護,但預設情況下並不安全
  • Telegram 使用者很容易透過其實際電話號碼被識別出來