分類彙整:中國

Android 手機被揭發把用戶隱私傳送到中國大陸伺服器

網絡安全公司 Kryptowire 揭發部份 Android 手機被植入後門程式,把用戶的隱私包括電話號碼、GPS 位置、SMS 短訊內容、通話紀錄、電話簿、安裝程式等等,傳送到位於中國大陸的伺服器。開發該後門程式的上海廣升公司辯稱,該「功能」原意只安裝在中國大陸的手機,包括所有由華為和中興生產的手提裝置,這次出現在外國的手機上純屬意外。

涉事的 Android 後門程式由上海廣升公司開發 (https://www.adups.com,請慎入),為手機製造商和網絡公司追蹤用戶的個人資料和行為模式,藉以推送個人化的廣告。據該公司網站資料,這個後門程式已經安裝在全球超過七億部手機、平板電腦、手機遊戲上,所有華為中興生產的手機都有這個後門程式。

上海廣升一名律師向紐約時報表示,他們純粹是一間私人公司,不是為中國政府收集用戶的資料。

Mozilla 將封鎖中國認證機關發出的網站認證

幾天前 Mozilla 發表一份調查報告,指控中國認證機關 (Certificate Authority) WoSign 不誠實地發出網站認證 (certificate),嚴重破壞 TLS 賴以安全的加密和認證機制,建議屬下的 Firefox 瀏覽器開發團隊阻截所有由 WoSign 及其屬下公司,包括著名的認證機關 StartCom,所發出的認證。

該報告指出,WoSign 在過去九個月,故意把一些新發出的認證的日期推前,逃避了互聯網業界對 SHA-1 散列函式的禁制,這項禁制是由於 SHA-1 可受到衝突攻擊 (collision attack) 令黑客輕易製作一張虛假的網站認證,破壞了整個認證制度。部份 WoSign 的客戶基於種種原因,希望他們的認證仍然以 SHA-1 簽發,WoSign 於是在發出新認證的時候,把發出日期推到本年初之前,令瀏覽器以為這些是很久以前發出的認證,豁免了對他們施加 SHA-1 禁制。

該報告也指控 WoSign 不正當地隱瞞併購以色列認證機關 StartCom 的行動,而 StartCom 與 WoSign 一樣,曾經擅自改動新認證的發出日期,逃避瀏覽器對 SHA-1 的禁制。

所以,Mozilla 建議 Firefox 團隊阻截所有由 WoSign 及其屬下公司 (包括 StartCom) 發出的認證最少 12 個月。

從現在開始直到 Firefox 及其他瀏覽器發佈新版本(其實從九個月前已經開始),用戶將會暴露在虛假網站的威脅中,這些網站通過了 TLS 的認證機制,從任何角度看都是真卻無訛的網站,但其實是黑客利用 SHA-1 的安全漏洞來偽冒,他們之所以成功,都是拜 WoSign 和 StartCom 所賜。倘若不想等待 Firefox 的新版本,立即保障自己,可以在瀏覽器的設定畫面手動刪除所有 WoSign 和 StartCom 的根認證 (root certificate)。但是請注意,部分網站可能從此難以造訪 (造訪時會收到類似「網站認證失敗」的訊息,你必須告訴瀏覽器豁免認證檢查,才能繼續讀取網站的內容,例如 PHP 開發人員的熱門網站 phpclasses.org 便有這個問題。這的確很不便,但考慮到進入了偽冒網站而被騙去個人資料和財產的風險,我強烈建議大家這樣做。

NSA 指摘中國散播 BIOS 惡意程式

資料來源:NSA 指摘中國散播 BIOS 惡意程式

美國 CBS 著名訪談節目「60 分鐘時事雜誌」(60 Minutes) 訪問美國國家安全局 (NSA) 總監 Keith Alexander 將軍和資訊保證總監 (Information Debora Plunkett,在其中一段對話 Plunkett 表示 NSA 成功阻截一個由中國開發的 BIOS 惡意程式,拯救了美國,甚至全世界的經濟,由此論證 NSA 無遠弗屆的網絡監控是保衛國家安全不可或缺的手段。問題是,BIOS 惡意程式根本不是新鮮事物,也不是什麼了不起的威脅,比它影響更深遠的東西例如橫掃歐美國家的勒索軟體 CryptoLocker、困擾全球電腦用戶多年以盜取銀行登入資料聞名的 Zeus 木馬程式等 NSA 卻束手無策,這次訪談顯然只是 NSA 的公關工程,但在科技界眼中只是另一個笑柄,「60 分鐘時事雜誌」也為此賠上聲譽。

 

LINE 如何審查大陸用戶?如何避開它的審查?

資料來源:Global Voices AdvocacyCitizenLab

LINE 是大陸第二大手機即時通訊軟體,市場佔有率排在 WeChat 之後。透過反編譯 LINE 的程式碼,加拿大多倫多大學一份研究發現 LINE 審查大陸用戶的通訊內容,所有包含敏感字詞包括「法輪功」、「六四」等內容都被封鎖,該研究並提供避開審查的方法。

LINE 的快速成長

LINE 在 2011 年 6 月推出,現有 2 億 8 千萬用戶,在原產地日本以外,在泰國有 1,800 萬用戶,在台灣有 1,700 萬,在印尼則有 1,400 萬,LINE 在 2012 年 12 月與奇虎 360 科技有限公司合作推出中國品牌版本「連我」。

隨著越來越多人使用包括 LINE 等聊天軟體,各國政府紛紛以監控犯罪活動為由開始監視這些軟體的通訊內容。仔細看 LINE 的程式碼可發現不知是有意還是無意,LINE 為執法機構開啓了不少竊聽的後門。例如 LINE 在 3G 流動網絡的通訊內容都未經加密,任何有能力截聽這些通訊的人都可以獲取 LINE 的數據,包括通話的日期、時間、和內容。雖然 3G 流動網絡的通訊已經加密,不過這是靠電訊服務供應商進行的,換句話說他們隨時可以把內容解密。有論者推測,LINE 故意不把透過 3G 網絡的內容加密,好讓政府監視用戶的通訊。

關鍵字審查

2013 年 5 月 20 日 Twitter 用戶 @hirakujira 發現 LINE 的 iPhone 版本對大陸用戶進行內容審查,針對大約 150 個關鍵字。為了深入瞭解 LINE 的審查機制,多倫多大學反編譯了 LINE 的 Android 最新版本 3.9.3,他們發現當用戶在安裝的過程中把所在國家設定為「中國」,關鍵字審查的功能便會被啓動,LINE 會從伺服器下載關鍵字表,所有包含關鍵字的內容都會被封鎖。

安裝 LINE 時,它會詢問用戶所在的地區和電話號碼,LINE 會把四位數字的驗證碼以短訊發送到這個電話號碼。如果電話號碼中的國家代號,與用戶提供的地區名稱不相符,軟體會顯示錯誤訊息,並要求用戶重新輸入。一直以來用戶都會更改他們的地區設定,以便下載只提供給某些地區的內容,例如印尼的 LINE 用戶可以下載慶祝回教齋戒月的「貼紙」,這些內容是 LINE 的主要收入來源,可惜最新版本的 LINE 把地區設定加密,很大可能就是要防止用戶擅自更改地區設定,從而下載一些本來不能下載,或需要付費才能下載的內容。

研究顯示 LINE 在 2013 年 1 月 18 日推出的 3.4.2 版本已俱備關鍵字審查功能,LINE 是在 2012 年 12 月在大陸推出,換句話說在推出後不久它便開始審查用戶的通訊。被審查的關鍵字名單很可能是由奇虎 360 提供,但具體的管理方式目前尚不清楚。

關鍵字名單包括灰頭土臉的前中共政治家薄熙來,1989 年天安門鎮壓的 64 事件,中共內訌或黨內派系鬥爭的字詞,法輪功,一些俱爭議性的事件包括牽涉胡錦濤心腹官員令計劃的兒子的致命的法拉利車禍,和溫家寶家族的秘密財富等。@hirakujira 在一系列網址上發表 iPhone 版本上發現的關鍵字名單,這裡是一份總列表。多倫多大學發現的關鍵字名單則可在這裡下載。

有趣的是,LINE 的關鍵字名單與之前多倫多大學研究的兩個中文即時通訊軟體 TOM-Skype 和新浪 UC 的名單不相同,雖然有部分共通的主題,包括六四、法輪功等,但是在 LINE 的 370 個關鍵字中,只有 27 個與 TOM-Skype 和新浪 UC 的 4,256 個關鍵字名單重疊。

這情況說明政府沒有向這些軟體公司提供關鍵字名單,曾經有人研究過大陸的微博審查針對中國市場的本土化搜尋引擎審查,也發現類似的關鍵字名單不相同情況。總體而言,這些研究表明,對於什麼類型的內容和目標需要審查,軟體公司只是收到一般性的指引,至於如何落實這些指引,公司具有一定程度的靈活性。

避開 LINE 的審查

關鍵字審查只針對安裝地區為大陸的用戶,用戶只要把自己的地區設定為其他地方便可以避開審查,例如美國或加拿大。多倫多大學提供了一個「LINE 地區碼加密工具」,幫助 LINE 的用戶改變地區,從而避開審查。

中國政府「打贏」了互聯網意識形態戰爭

資料來源:Global Voices Advocacy, 阿波羅新聞

根據一項最新的研究,中國共產黨對輿論領袖在社交媒體和其他評論平台上的「意識形態戰爭」取得了勝利。

在近日召開的第十三屆中國網路媒體論壇上,人民輿情監測室秘書長祝華新發表一份名為《互聯網社會責任與輿論生態報告》,指出自從共產黨在今年八月收緊網上言論控制之後的初步影響,結果顯示在過去兩個月,在社交網絡和其他平台上的政治評論和對話大幅減少。

對網上言論的控制始於八月十日,當日國家互聯網信息辦公室召集了一群主要的網上意見領袖和名人,要他們接受包含「七不講」和「七條底線」在內的「自我審查準則」。所謂「七不講」是指普世價值、新聞自由、公民社會、公民權利、黨的歷史錯誤、權貴資產階級、和司法獨立。「七條底線」則是法律法規底線、社會主義制度底線、國家利益底線、公民合法權益底線、社會公共秩序底線、道德風尚底線、和社會真實性底線。八月十九日中國國家主席習近平在全國宣傳思想工作會議上表示,意識形態工作是黨的一項極端重要的工作,他下令中共的宣傳機器建立一支強大的互聯網審查隊伍,主力消除網上的「謠言」,對許多人來說,這標誌著中國網上言論審查進入一個更嚴厲的時代,任何不是來自官方渠道的訊息,都可視作謠言。

祝華新的報告顯示,自從收緊言論控制後,中共在公開網上平台取得了主導的地位,在主要的社交平台,由國家控制的媒體和政府分支機構發佈的訊息,大大超過了由「輿論領袖」發出的訊息及由網民發表的個人意見。

這份報告跟進了一群輿論領袖的新浪微博賬戶最近四個月的數據,八月十日前的兩個月,這群輿論領袖共發出了 72,481 條訊息,言論審查收緊後的兩個月,累計的訊息總數是 65,126 條,跌幅是 10.2%,九月十一日至十月十日期間,跌幅則達到 24.9%。

下圖來自祝華新的報告,顯示在 2013 年 8 月至 10 月三大板塊在新浪微博的發帖數量。

網絡輿論板塊的變化

2013 年 8 月至 10 月三大板塊在新浪微博的發帖數量比較 (圖片來源:求是理論網)

祝華新認為這證明在意識形態戰爭中,共產黨取得了勝利,他建議中共應進一步鼓勵學者和作家努力塑造中國互聯網文化,並邀請具專業背景人士,按其相關專業發表意見。他還強調,要持續打擊「網路水軍」(為私人公司有償地在網上發表意見的人),並讓國營媒體帶頭引導民意。

這份報告所顯示的趨勢令人擔憂。報告內的資料只是數量上的分析,但是由主要輿論領袖和網上知名人士發表的原創訊息,跌幅遠遠超過報告所說的數字。報告只統計新浪微博的信息數量,但是除了社交平台,網上討論區和社區也受到中共的意識形態戰爭影響。這份報告曾提及一個受歡迎的入門網站「天涯社區」:

在天涯社區的社會民生類話題中,9月份主帖數量下降60%,其中正面帖文總數下降34%,負面帖文總數下降63%。……帖文減少最多的是個人維權及反腐敗類資訊,佔所有減少量的70%。與此同時,天涯論壇帖文資訊正面率小幅上升6%。

2013 年 1 月至 8 月,平均每月有兩宗貪腐案件在網上被揭露,但到了 9 月,由市民揭露的貪腐案件一宗也沒有。

自然災害對一直是中國政府的敏感話題,這類報告在網上也似乎少了。例如今年七月在北京發生的暴雨和洪水,引發網上大量報導和評論,其中不乏對政府救災工作的批評。十月餘姚大水的報導便少得多,在北京暴雨事件的文章中,60% 含有一定份量的主觀評論,但是在餘姚打水的文章中,包含主觀評論的文章只有 15%。「客觀描述」的文章從七月份的 10% 上升到十月份的 56%。至於從國家通訊社轉載的文章比例則維持不變。

即使餘姚大水是件極具爭議性,網民明顯不願意發表意見。事件中數千名當地居民因不滿政府的救災工作到政府辦公大樓抗議,部分甚至襲擊當地公安。網民不願意報導這些事件是值得憂慮的,因為災害的報導可以改善救援的工作,並在緊急情況下為有需要人士快速提供幫助。

官方媒體只顧稱讚餘姚大水中政府的救災工作,卻對民怨一字不提。過去網民會公開批評官方媒體和政府官員的這種行為,但可能由於中共新的意識形態鬥爭,許多網民只是上傳照片和做客觀描述,避免任何主觀意見或判斷。

此外,大部分在新浪微博上顯示當地居民和公安之間的對抗的照片都已經消失。 極少數倖存的餘姚抗議事件的照片都是由未被驗證的帳戶(不當作「輿論領袖」)上傳,並只有極少數的追隨者,或者照片的說明中沒有使用「抗議」或「衝突」等字眼。

與此同時,海外新聞媒體收集了網上的照片,並在他們自己的平台上發表。新唐人電視台全面收集了網上有關餘姚大水的照片,並解釋了衝突的來龍去脈。但是這對中國沒有什麼直接影響,因為在國內大部分海外中文新聞網站都被封殺。

中共可能已經成功堵截了網上的批評,然而,當人們無法找到一個方式來發洩他們對不公義的憤怒,他們會找到另一個發洩口。最近在北京和山西的爆炸事件可能預示著一個新的戰場,一個每個參與者都是輸家的戰場。

中國騰達路由器藏有後門漏洞

資料來源:中國騰達路由器藏有後門漏洞

Craig Heffner 繼上星期發現 D-Link 路由器有後門漏洞後,現在又發現中國騰達 (Tenda) 生產的路由器有人為植入的後門,可以直接在路由器內以超級用戶 (root user) 的身份執行任何命令。

Craig 把路由器內的韌體反編譯,發現這是一個大幅改動的 GoAhead 網站伺服器,表面上所有與路由器的通訊都經過 WPS 或 WPA 加密,但其實只要發送一個包含特定字符串的 UDP 數據包,便可以取得路由器的控制權。下圖 Craig 示範怎樣讀取路由器的根目錄:

由後門進入騰達路由器根目錄
由後門進入騰達路由器根目錄 (圖片來源:/dev/ttyS0)

命令行中「w302r_mfg」便是進入後門的關鍵字。下圖示範怎樣啓動路由器內的 telnetd 從而進行更複雜的操作:

由後門啓動騰達路由器內的 telnetd
由後門啓動騰達路由器內的 telnetd (圖片來源:/dev/ttyS0)

關鍵字「w302r」可能表示這個後門最早在 W302R 型號中植入,不過在 W330R 也發現這個後門,還有經過品牌包裝但同屬騰達的 MediaLink MWN-WAPR150N 路由器,它們全部植有 「w302r_mfg」後門。