Letstalk 的隐私安全性如何?全方位深度评测与解析
安全评分:7.5分(满分10分)
先给结论:Letstalk 在日常使用中足够安全,但和 Signal(9/10)相比有透明度差距。
| 安全维度 | 评分 | 说明 |
|---|---|---|
| 加密算法 | 9/10 | 采用业界公认标准的 AES-256 加密与 ECDH 密钥交换协议 |
| 默认加密 | 10/10 | 系统默认对所有会话启用端到端加密 |
| 开源审计 | 4/10 | 闭源,无公开审计 |
| 元数据保护 | 6/10 | 口头承诺不收集数据,却拿不出相应的验证手段 |
| 账号安全 | 8/10 | 具备双重认证与应用锁定功能 |
| 前向保密 | 8/10 | 虽然具备该支持功能,但具体的实现方式并未对外公开 |
加密实现分析
加密算法
Letstalk 采用了 AES-256 对称加密技术并结合 ECDH 密钥交换协议。这一加密方案与 Signal Protocol 一致,因此在理论层面的安全性是相当的。
AES-256这是经美国国家安全局(NSA)认证、专门用于加密机密数据的算法。截至当下,业界尚未发现任何能有效破解它的手段。
ECDH:采用椭圆曲线 Diffie-Hellman 算法进行密钥协商,以确保共享密钥的安全传递。即便第三方窃听了全部通信内容,也无法反推出用于加密的密钥。
密钥管理
Letstalk遵循端到端加密规范,将私钥保留在用户本地设备上,绝不会上传至服务器。
然而,具体的实现细节并未对外披露。关于密钥的生成、存储与轮换机制,以及是否存在硬编码密钥或随机数生成器强度不足等隐患,唯有 Letstalk 内部团队心知肚明。
前向保密
Letstalk 宣称具备前向保密功能,即通过为每次会话分配独立的临时密钥,确保即便单次会议的密钥泄露,也不会波及其它会话。不过,其实际代码尚未经过第三方审计确认。
若想深入了解加密技术的底层逻辑:全面解析 Letstalk 的端到端加密机制
数据收集分析
Lettalk 官方宣称所采集的信息
- 必须提供注册用的手机号码
- 最近上线时间(此为可选项,支持关闭)
- 设备详情(涵盖系统版本号及应用版本)
Lettalk 官方表示不会收集的数据信息
- 对话记录(享有端到端加密的安全防护)
- 联系人列表
- 位置信息
- 浏览历史
问题:无法验证
由于 Letstalk 采用闭源开发,上述说法难以通过第三方进行独立核实。存在以下几种可能性:
- Letstalk 坦诚相告:并未采集任何额外信息
- Letstalk 进行了数据收集,却未公开予以承认
- 虽然 Letstalk 现阶段不会收集数据,但请注意其隐私政策未来存在调整的可能性
与 Signal 进行比对Signal 采用全开源架构,允许公众审查其代码,从而核实它是否真的不收集冗余数据。这种透明性正是开源的核心优势:无需盲目信任官方的隐私承诺,用户可自行验证安全机制。
元数据问题
尽管消息主体已实现端到端加密,但元数据依然处于可见状态:
- 谁和谁通信:为了让消息正确路由,Lettalk 服务器必须明确消息的来源与去向。
- 通信时间时间戳的作用是对消息进行排列
- 消息大小:服务器能够获知已加密数据的体积
- 通信频率:服务器能够记录并分析你与特定对象的沟通频次
尽管元数据未涉及具体对话内容,却足以勾勒出你的社交网络及行为轨迹。以每日频繁联系某位律师为例,即便旁人不明其交谈细节,亦可由此推测你正在咨询相关法律事宜。
尽管 Letstalk 表示不会永久保留元数据,但该说法缺乏可验证性。
账号安全
两步验证
Letstalk 提供两步验证服务,路径为:设置 → 隐私与安全 → 两步验证。启用该功能后,用户在登录时除了接收验证码,还必须输入 PIN 码才能成功登录。
强烈建议开启若未开启双重验证,任何截获你短信的人均可登录你的 Letstalk 账户。
应用锁
Letstalk 支持应用锁(Face ID/指纹/PIN)。每次打开 app 需要生物识别验证。
建议开启此举能有效避免将手机借给他人时,聊天记录被窥探。
安全建议清单
- 开启两步验证
- 开启应用锁
- 关闭"已读回执"(不让对方知道你是否看了消息)
- 关闭"最后上线时间"(不让别人知道你何时在线)
- 定期检查"活跃会话"(设置 → 隐私与安全 → 活跃会话),退出不认识的设备
做完这 5 步,你的 Letstalk 账号就能抵御绝大部分的安全威胁。
和微信的安全差距
| 安全维度 | Letstalk | 微信 |
|---|---|---|
| 消息加密 | 端到端加密 | 传输通道加密(服务端具备解密能力) |
| 服务器能否读消息 | ❌ 不能 | ✅ 能 |
| 内容审查 | ❌ 不审查 | ✅ 自动审查 |
| 元数据收集 | 声称最少 | 大量收集 |
| 账号被封风险 | 低 | 中(疑似因触犯内容规范遭到屏蔽) |
| 数据导出 | 支持 | 有限 |
差距是根本性的——Letstalk 的架构决定了消息安全,微信的架构决定了消息不安全。这不是"哪个更安全一点"的问题,而是"安全"和"不安全"的区别。
客观不足
为了客观公正,我们不妨也聊聊 Letstalk 在安全防护上的短板:
- 闭源由于难以对底层安全机制进行独立审计,用户只能选择信任 Letstalk 的开发团队。
- 无公开审计值得注意的是:目前尚无任何第三方安全机构对 Letstalk 的代码进行过安全审计。
- 无漏洞赏金计划:缺乏促使安全研究人员挖掘漏洞的激励机制
- 元数据处理不透明:尽管宣称不会进行长期留存,但该说法缺乏可验证性。
- 公司背景不透明:关于 Letstalk 运营方的公开资料不多
Signal 则彻底规避了上述短板。它坚持全开源、历经多重独立审计、设立漏洞奖励机制并采用非营利模式运营。就安全透明度而言,Signal 的表现远超 Letstalk。
我的客观评价
秉持客观评测的原则,我绝不会一味吹捧。Letstalk 在安全方面的定位十分明确:
对于日常隐私保护:Letstalk 在安全性上相当可靠。它采用端到端加密技术,服务器无法窥探你的聊天内容;配合阅后即焚功能,消息不会长期保存。相较于微信缺乏加密且存在审查机制,Letstalk 带来了质的飞跃。
对于极度敏感场景:Lettalk 采用闭源模式,这是一个明显的短板。对于记者、律师或人权工作者而言,在处理涉及人身安全的关键信息时,Signal 凭借开源代码的公开审计,能够提供 Lettalk 所不具备的安全保障。
最终建议日常交流推荐 Letstalk(功能丰富且国内可用),涉及高度隐私的对话则建议用 Signal(开源透明更让人放心)。两款应用同时安装,优势互补即可。
💡 想保护隐私? 获取 Letstalk 应用得益于端到端加密和阅后即焚功能,其日常聊天的安全性能远胜微信。若涉及极高敏感度的沟通,建议配合 Signal 一起使用。
相关推荐:获取 Letstalk · 安心聊电脑版 · 加密聊天软件
