WhatsApp E2EE 嘅 metadata 漏洞：端對端加密保護訊息內容，但通訊紀錄全曝露

WhatsApp 端對端加密（E2EE）保護訊息內容，但 metadata（元數據）仍然被收集並可能洩露。本文深入分析 metadata 漏洞嘅種類、風險、實際案例，並提供減低洩露嘅具體對策，港人及海外華人必讀隱私指南。

Lead

當我哋講起 WhatsApp 嘅安全性，第一個諗到嘅一定係端對端加密（E2EE）。的確，呢項技術令訊息內容喺傳輸過程中被鎖死，理論上只有通訊雙方可以解密。但呢個並唔代表你嘅通訊完全私密。E2EE 只係保護訊息「內容」，卻冇辦法遮蓋通訊嘅「元數據」（metadata）——即係邊個同邊個喺幾時、用咩裝置、喺邊個 IP 地址傾偈。呢啲 metadata 往往比內容更加值錢，而且 WhatsApp 母公司 Meta 一直有系統咁收集、分析甚至向第三方分享呢類數據。本文會逐層拆解 WhatsApp E2EE 嘅 metadata 漏洞，畀港人同海外華人認清真相，唔好再盲目相信「加密等於安全」。

何謂端對端加密？WhatsApp 實際點樣運作？

端對端加密（End-to-End Encryption）嘅基本原理係：訊息由發送者裝置上加鎖，只有接收者嘅私鑰可以解鎖。中間經過嘅伺服器、網絡節點，甚至 WhatsApp 自己都理應冇辦法睇到明文內容。WhatsApp 採用嘅係 Signal Protocol，由 Open Whisper Systems 開發，被公認為現時最強嘅 E2EE 標準之一。

實際運作上，每個 WhatsApp 用戶會自動生成一對公私鑰。私鑰留喺裝置，公鑰上載到 WhatsApp 伺服器。當你同朋友開始對話，雙方會交換公鑰，之後每條訊息都用對稱密鑰加密，再以接收者公鑰包裹。技術層面做得的確好精妙，連群組對話都可以做到每位成員有獨立加密通道。

但係，呢套機制有一個設計上嘅盲點：所有加密只針對「訊息內容」。通訊所需要嘅路由資訊、身分驗證、時間戳記等，必須以明文或者可逆向方式存在伺服器上，否則訊息根本冇可能送到對方手上。就係呢啲「附帶資訊」，成為 metadata 漏洞嘅溫床。

Metadata 究竟係乜？WhatsApp 會紀錄邊啲元數據？

Metadata 直譯為「元數據」，可以理解為「數據嘅數據」。喺即時通訊嘅場景，metadata 至少包括以下類別：

• 通訊雙方電話號碼 / 帳戶識別碼：你同邊個對話
• 時間戳記：每條訊息發送、送達、閱讀嘅精確時間
• IP 地址：發送同接收當刻所用嘅網絡位置，可以推斷實際地理定位
• 裝置資訊：手機型號、作業系統版本、電量、屏幕尺寸等
• 通話紀錄：語音或視像通話嘅起始時間、長度、參與者
• 群組資訊：群組名稱、頭像、成員名單、你加入同離開嘅時間
• 聯絡人同步上載：你通訊錄入面嘅所有電話號碼，定時上載到伺服器做匹配

根據 WhatsApp 官方私隱政策（2021 年更新版），佢哋明確指出會收集呢類 metadata，並且會同 Meta 旗下其他產品（Facebook、Instagram）共享，用於「改善服務」、「安全分析」同「個人化廣告」。特別係聯絡人同步功能，即係你裝完 WhatsApp 第一次打開，佢就會問你允唔允許讀取通訊錄。只要你撳咗允許，你手機入面所有朋友、同事、甚至只係交換過一次卡片嘅人嘅電話號碼，全部都會上載到 Meta 伺服器。就算對方冇用 WhatsApp，Meta 都會保留呢個關聯紀錄，用嚟建構「影子檔案」（Shadow Profile）。

點解 Metadata 漏洞比內容洩漏更危險？

好多人以為訊息內容先係最重要嘅私隱，但情報界有一句名言：「我哋唔需要知你講乜，只需要知你同邊個講、幾時講、喺邊度講。」Metadata 可以精確繪畫出一個人嘅社交圖譜、生活習慣、政治傾向甚至健康狀況。

1. 社交關係完全曝露 只要掌握足夠時間跨度嘅 metadata，就可以知道你嘅親密圈子係邊幾個、工作聯絡人頻率、深夜通話對象，甚至推算你係咪有婚外情、參與邊個社運群組。2014 年史丹福大學一項研究發現，單靠電話通話紀錄嘅 metadata（號碼、時間、長度），研究人員就可以極高準確度推斷出受試者嘅健康問題、宗教立場同感情關係。WhatsApp 紀錄比電話紀錄更精細，包含 IP 同裝置資訊，風險只會更大。

2. 地理軌跡持續追蹤 IP 地址會隨住你連接唔同 Wi-Fi 或者流動網絡而改變。WhatsApp 會紀錄每次連線嘅 IP，換言之，Meta 可以描繪出你一日嘅移動軌跡：朝早喺屋企、返工經過邊個地鐵站（靠 IP 區段推斷）、午餐去咗邊區、放工有冇去第二度。呢啲數據一旦落入監控機關或者數據經紀商手裏面，就可以做到近乎實時追蹤，完全繞過 E2EE 嘅保護。

3. 行為模式分析 時間戳記同互動頻率可以揭露出極敏感嘅行為模式，例如你係咪慣性喺深夜發送大量訊息（可能同情緒困擾有關）、會唔會定時聯絡某類服務（醫療、法律諮詢）、甚至係咪有賭博習慣。Meta 嘅廣告系統正正就係利用呢類 metadata 去將你分類，再推送精準廣告。你以為自己冇同 WhatsApp 講過任何嘢，但 metadata 已經出賣咗你。

4. 冇法律保護，政府可以輕易取得 喺好多司法管轄區，執法機構要攞取訊息內容必須申請搜查令，並達到較高嘅證據門檻。但 metadata 因為被視為「非內容數據」，往往只需要較低級別嘅法庭命令（例如傳票）就可以迫使 WhatsApp 交出。美國、英國、澳洲都已經有類似案例，警方憑 metadata 重構整個抗議活動嘅參與者網絡。香港雖然未有公開案例，但國安法下，龐大嘅 metadata 庫毫無疑問係一個巨大隱患。

Meta 內部如何利用 Metadata？數據洩漏真實案例

Meta 成日強調佢哋「唔會睇你訊息內容」，但從來冇講過唔會利用 metadata。事實上，metadata 先至係佢哋核心商業模式嘅燃料。

跨平台影子檔案 當你喺 WhatsApp 入面上載通訊錄，Meta 會將你朋友嘅電話號碼同佢現有嘅 Facebook、Instagram 用戶配對。就算你朋友冇授權上載通訊錄，Meta 都可以透過你嘅行為（例如你同佢經常通話）推斷出關係強度，並將呢個資訊注入廣告系統。德國漢堡數據保護專員曾經喺 2021 年發出緊急命令，禁止 Meta 將 WhatsApp 用戶數據用於自家廣告，正正就係針對呢類 metadata 濫用。

AI 訓練材料 WhatsApp 聲稱會用 metadata 嚟訓練人工智能模型去偵測垃圾訊息、詐騙帳號。聽落好合理，但呢啲模型同樣可以用嚟分析用戶行為，甚至預測你會唔會點擊某類廣告。Meta 未有完全公開模型訓練用咗邊啲 metadata，透明度嚴重不足。

數據共享夥伴 除咗內部使用，Meta 一直有同大量第三方數據經紀、學術機構、市場研究公司合作。雖然佢哋話提供嘅係「匯總匿名數據」，但多項研究已經證明，只要結合幾個數據集，匿名數據好容易被去匿名化。2013 年麻省理工學院一項經典研究顯示，只需四個信用卡消費嘅時間地點 metadata 點，就可以從一百萬人嘅數據集中獨特識別出一個人。WhatsApp metadata 嘅豐富程度遠超信用卡紀錄，去匿名化風險可想而知。

真實洩漏事件 雖然唔係直接攻擊，但 WhatsApp 嘅 metadata 系統設計缺陷已經導致多次間接洩漏。例如 2019 年，安全研究員發現 WhatsApp Web 版本會曝露用戶嘅在線狀態時間線，容讓任何人透過簡單腳本監視目標用戶幾時上線、幾時離線，精確追蹤作息。2022 年，另一團隊發現 WhatsApp 嘅「最後上線」同「在線」狀態可以被利用作精準嘅社交工程攻擊，結合其他 metadata 推斷目標當時心理狀態。呢啲都唔係內容外洩，但傷害一樣巨大。

我可以點樣保護自己？減少 Metadata 洩漏嘅實際對策

要完全消除 metadata 紀錄幾乎冇可能，因為通訊本身就需要一定嘅路由資訊。但以下措施可以大幅降低你嘅曝露面：

1. 停用聯絡人同步 絕對唔好畀 WhatsApp 存取通訊錄。你仍然可以手動開始對話，只要輸入對方電話號碼就得。如果你已經授權咗，可以去手機設定 > 私隱 > 聯絡人，取消 WhatsApp 嘅權限，並且喺 WhatsApp 入面清除已上載嘅聯絡人資料（設定 > 帳戶 > 清除上載聯絡人）。咁做會令你嘅通訊錄唔會再被 Meta 成個抄走。

2. 使用 VPN 隱藏 IP 地址 每次用 WhatsApp 之前都連接 VPN，可以令你嘅真實 IP 地址被隱藏，Meta 只會睇到 VPN 伺服器嘅位置。注意，必須係可信、冇記錄政策嘅 VPN 服務，而且最好長時間使用，避免 IP 頻繁跳動引起異常偵測。不過，WhatsApp 依然可以透過其他方式（例如 SIM 卡網絡、GPS 權限）推測你嘅位置，所以呢只係第一道防線。

3. 關閉已讀回執同最後上線狀態 去設定 > 私隱，關閉「已讀回執」同設定「最後上線及在線」為「沒有人」。雖然呢啲改動唔會阻止 WhatsApp 伺服器端繼續紀錄，但至少可以減少其他人（包括惡意監視者）透過前端獲取你嘅活動時間，降低社交工程風險。

4. 避免喺 WhatsApp 進行高度敏感對話 如果你需要討論政治、健康、法律等敏感話題，應考慮使用主打 metadata 保護嘅通訊工具。有啲通訊軟體會刻意減少紀錄伺服器端 metadata，例如唔儲存聯絡人名單（僅使用哈希值匹配）、隱藏 IP 地址（透過洋蔥路由）等。WhatsApp 並冇呢啲設計。

5. 定期清理群組同對話 離開唔需要嘅群組，刪除舊對話，可以減少已暴露 metadata 嘅歷史跨度。雖然伺服器可能仲有備份，但至少你可以降低裝置被檢查時嘅直接風險。

6. 使用一次性號碼 如果你需要註冊 WhatsApp 但唔想連結自己真實手機號碼，可以使用虛擬號碼服務或者預付費 SIM 卡。Meta 依然會收集呢個號碼嘅 metadata，但斷開咗同你真實身分嘅直接關聯。注意，WhatsApp 可能會要求 SMS 驗證，所以必須確保號碼可以收短訊。

7. 考慮完全脫離 Meta 生態 長遠而言，最有效嘅方法係減少對 Meta 產品嘅依賴。當你嘅社交圈大部分仲用緊 WhatsApp，完全轉會好困難，但可以逐步遷移到更尊重私隱嘅通訊工具。記住，你嘅選擇會影響你嘅朋友，一個一個帶過去，就可以削弱 metadata 大數據庫嘅效力。

FAQ

Q1: WhatsApp E2EE 加密咗，點解仲會有 metadata 漏洞？ A1: E2EE 只保護訊息內容（文字、相片、語音），但通訊必須附帶嘅路由資訊（誰發給誰、何時、IP、裝置）仍然以非加密形式喺伺服器處理，呢啲就係 metadata，冇辦法用 E2EE 隱藏。

Q2: Meta 會唔會賣我嘅 WhatsApp metadata 畀廣告商？ A2: Meta 官方話唔會「出售」個人資料，但會利用 metadata 喺自家廣告系統入面進行精準投放，等同間接變現。而且佢會同第三方數據夥伴交換匯總數據，去匿名化風險極高。

Q3: 我刪除咗 WhatsApp 帳戶，之前嘅 metadata 會唔會消失？ A3: WhatsApp 私隱政策指出，刪除帳戶後，大部分數據會喺 90 日內從伺服器移除。但係，已經共享咗畀 Meta 其他部門或者第三方嘅 metadata，好可能根據各自政策繼續保留。所以最好一開始就減少產生 metadata。

Q4: 使用 WhatsApp 「消失訊息」功能可以保護 metadata 嗎？ A4: 消失訊息只係令內容喺一定時間後自動刪除，但 metadata（例如邊個同邊個發過訊息、時間、IP）仍然會被記錄，唔會因為訊息消失而刪除。所以消失訊息對 metadata 保護幾乎冇作用。

Q5: 政府係咪可以隨時拎到我嘅 WhatsApp metadata？ A5: 視乎管轄區法律。以香港為例，執法機構可以根據《截取通訊及監察條例》或《國家安全法》向 WhatsApp 索取 metadata。由於 metadata 保護門檻較低，政府相對容易取得。如果你身處高監控地區，務必採取額外保護措施。

總結

WhatsApp 嘅端對端加密的確係一個強大嘅內容保護機制，但絕對唔等於全面私隱安全。通訊嘅 metadata 漏洞已經形成一個龐大嘅監控同商業利用體系，而我哋日常依賴呢個平台嘅習慣，正係令呢套體系不斷壯大嘅原因。港人同海外華人面對日益複雜嘅網絡監控環境，必須超越「加密就安心」嘅迷思，從 metadata 角度重新審視每一項通訊工具。記住：保護內容只係第一步，保護通訊行為同樣重要。揀工具、改設定、教育身邊朋友，三步並行先可以喺數碼世界入面，真係守住自己嘅私隱。