分類彙整:監控

Android 手機被揭發把用戶隱私傳送到中國大陸伺服器

網絡安全公司 Kryptowire 揭發部份 Android 手機被植入後門程式,把用戶的隱私包括電話號碼、GPS 位置、SMS 短訊內容、通話紀錄、電話簿、安裝程式等等,傳送到位於中國大陸的伺服器。開發該後門程式的上海廣升公司辯稱,該「功能」原意只安裝在中國大陸的手機,包括所有由華為和中興生產的手提裝置,這次出現在外國的手機上純屬意外。

涉事的 Android 後門程式由上海廣升公司開發 (https://www.adups.com,請慎入),為手機製造商和網絡公司追蹤用戶的個人資料和行為模式,藉以推送個人化的廣告。據該公司網站資料,這個後門程式已經安裝在全球超過七億部手機、平板電腦、手機遊戲上,所有華為中興生產的手機都有這個後門程式。

上海廣升一名律師向紐約時報表示,他們純粹是一間私人公司,不是為中國政府收集用戶的資料。

英國政府索取解密密鑰 電郵服務商寧可結束業務

資料來源:英國政府索取解密密鑰 電郵服務商寧可結束業務

曾經獲得斯諾登信任的電郵服務商 Lavabit,和網絡安全通訊服務商 Silent Circle,因不肯把解密密鑰交給美國國家安全局 (NSA) 而先後被逼結束業務,同樣事件原來在今年初亦曾經在英國發生。英國國家通訊總局 (GCHQ) 在年初向 CertiVox 索取可解密用戶電郵的密鑰,CertiVox 寧可結束他們的電郵加密系統 PrivateKey,也不向 GCHQ 低頭。

國際財經時報報導,在斯諾登還未泄露 NSA 的機密文件,Lavabit 和 Silent Circle 還在提供安全可靠的電郵服務,2013 年初 GCHQ 便已經向 CertiVox 索取可以解密用戶電郵的密鑰,當時 CertiVox 正向用戶提供一個可進行端對端加密的安全電郵系統,稱為 PrivateKey,用戶可透過網頁界面或 Outlook 把電郵加密,加密後的內容連 CertiVox 的員工也無法解密。但是 GCHQ 要求 CertiVox 給 PrivateKey 建立後門,讓他們可以讀取用戶的電郵,CertiVox 的行政總裁 Brian Spector 說:

 我們有兩個選擇,一是建構世界上最安全的加密系統,安全得連 CertiVox 也無法讀取你的數據;一是花 500,000 英鎊在系統建立一個後門,讓 GCHQ 讀取數據,再把數據交給美國國家安全局,但是這與我們當初向用戶宣揚的價值觀和訊息背道而馳。

CertiVox 最後選擇取消 PrivateKey 服務,GCHQ 雖然目標未達,但也不是沒有收獲,至少他們成功結束一個他們無法破譯的電郵加密系統,原有的用戶惟有使用一些安全性較低的服務,一些可以被 GCHQ 截取內容,或者窺看電郵元數據 (送件者、收件者、標題、日期時間等等) 的服務。

澳洲與外國情報夥伴分享國民的通訊資料

資料來源:澳洲與外國情報夥伴分享國民的通訊資料

英國衛報刊登斯諾登最新的泄密文件,顯示通訊監控的「五大眼」國家曾經在 2008 年討論如何分享國民的通訊資料,部分國家表示要把資料「最少化」(只分享必要的部分),但澳洲的情報機關卻大方地表示夥伴們可以得到完整的原始數據,即使涉及醫療、法律和宗教範疇的數據也不受限制。

「五大眼」是指美國、英國、澳洲、加拿大和新西蘭,斯諾登的文件顯示,他們的情報機關 2008 年 4 月在英國國家通訊總局 (GCHQ) 位於卓特咸 (Cheltenham) 的總部開會,討論分享哪些情報,澳洲情報機關的代表表示可以分享國民的原始通訊數據,無須刪除與隱私相關的資料:

只要不是蓄意針對澳洲某一位國民,DSD (澳洲情報機關當時的名稱) 可以分享整批的、未經選擇的、完整的元數據。

DSD (Defence Signals Directorate) 現已改名為 ASD (Australian Signals Directorate)。

不過加拿大卻清楚地表明與夥伴們不同的態度,他們願意分享整批的通訊資料,不過條件是國民的資料必須被「最少化」,即是說要刪除部份數據,保障國民的隱私。

英國一間職業學校使用 RFID 掌握學生行蹤

資料來源:英國一間職業學校使用 RFID 掌握學生行蹤

我們日常使用的電子繳費工具包括香港的八達通、快易通,台灣的悠遊卡、臺灣通等,都是使用射頻辨識 (RFID) 技術,這種技術除了令我們的生活更方便,亦有可能被用作追蹤監視。英國一間職業學校使用「超寬頻主動式 RFID」(Ultra Wideband active RFID) 標籤,實時監察 500 名老師和大約 5,500 名全日制學生在校內的活動,誤差只在數寸之間。

主動式的 RFID 卡與傳統的電子繳費卡不同,那些卡屬於「被動」式,沒有內置電源,當閱讀器發送到那些卡的訊號足夠強,觸動卡內的電子線路,那些卡才會向閱讀器發送數據。主動式的 RFID 卡內置電源,每隔特定時間便會發送一束數據給四周的閱讀器,有一秒多次到每五分鐘或十分鐘一次,覆蓋範圍可達數百米,遠遠超過被動式的 RFID。

相對於 GPS、Wi-Fi 等技術,超寬頻主動式 RFID 的定位精確得多,GPS 等只能辨識一個人的地址,超寬頻主動式 RFID 卻可以把誤差控制在幾寸之內。

英國 ZDNet 前編輯 Rupert Goodwins 說,這種技術的雛形早在 1980 年代便已經出現,當時稱為「脈衝式射頻」(Pulse Radio),原意是用作穿牆式雷達,目標人物無須佩戴 RFID 標籤,並且與接收器中間隔著牆壁,也可以在 500 米外監察他的呼吸和辨別他的性別。後來科學家發現這種技術精確的位置辨識能力,足以透過觀察目標人物聲帶的震動,知道他正在說什麼。

由此可見超寬頻主動式 RFID 所收集的數據,超越了一所學校所需的門禁控制、出席紀錄等用途,它甚至可以知道你什麼時候跟什麼人接觸過,有什麼朋友等等。

大家也是時候翻一翻衣袋和錢包,檢查有沒有可疑的 RFID 標籤,若果這些標簽可以跟你的身份聯繫起來,你的隱私可能已被侵犯。

Google、Microsoft、Yahoo 等公司對網絡通訊的保密措施足夠嗎?

資料來源:Google、Microsoft、Yahoo 等公司對網絡通訊的保密措施足夠嗎?

鑒於各國情報機關積極監視網絡上的通訊,Electronic Frontier Foundation (EFF) 調查主要的網上服務企業如何保障網絡通訊不受監視,並製成列表供我們參考。EFF 從五方面評估企業保護網絡通訊的工作,獲得滿分的只有寥寥幾家,包括 Dropbox, SpiderOak 和 Sonic.net,Google 的完成度也十分高。另一方面,Microsoft, Yahoo, Amazon 等一些我們熟悉,每天對媒體高呼多麼注重資料的保障和客戶隱私安全性的公司,對網絡通訊的保護卻嚴重不足。

斯諾登的文件揭露美國國家安全局 (NSA) 透過監聽互聯網光纖主幹上的通訊,和 IT 企業數據中心之間的通訊,肆意侵犯網民的隱私。一葉知秋,其他國家的情報機關也在做同樣的事,唯一的分別是他們的員工裡面沒有斯諾登。所以 EFF 認為任何東西在進入網絡前都必須加密,為此他們提出了五項建議,並就此評估大型的 IT 企業對保護網絡通訊的工作。

當然這五項建議並不能使我們完全擺脫情報機關的監視,尤其是當他們看上了你,他們大可逼使 IT 企業透露你的資料,例如你的 IP 地址和使用服務的歷史紀錄。但至少在某些國家,尤其是一些較為民主的國家,情報機關需要向法庭申請許可令,即使法庭只是一個橡皮圖章,最低限度負責任的企業還有一個平台可以反抗一下。

2013 年 12 月 21 日更新:更新了 Microsoft 的資料。

IT 企業保護網絡通訊評估
IT 企業保護網絡通訊評估 (圖片來源:EFF)

EFF 的五項評估包括:

1. 為數據中心之間的通訊加密:自從斯諾登揭露 NSA 偷聽 Google 和 Yahoo 數據中心 (Data Centers) 之間的通訊後,我們知道除了用戶和企業之間的通訊要加密外,企業和企業之間的通訊也要加密。

2. 支援 HTTPS:HTTPS 確保網站和用戶之間的通訊數據都被加密,這可說是最基本的保護。儘管如此,我們仍可看到 Amazon 和 Yahoo 連這麼基本的工作都做不好。

3. 使用 HSTS:為了確保瀏覽器與網站之間的所有通訊都使用 HTTPS (而非僅限於包含機密資訊的頁面),在建立安全通訊渠道的時候,網站應使用 HSTS 告訴瀏覽器這個網站只使用 HTTPS,任何情況下不能使用 HTTP 與這個網站聯繫。

4. 完美遠期保密:這是 HTTPS 下一種加密技術,HTTPS 的解密鑰匙萬一被破解,或者被情報機關強逼網站透露,也不能解讀過去使用這條鑰匙加密的通訊。

5. STARTTLS:這是加密電郵伺服器通訊的一種網絡協定。從用戶傳送到伺服器 (SMTP Server) 的電子郵件可以藉著 SSL/TLS 加密,但是伺服器與伺服器之間的通訊便要靠 STARTTLS 加密。

LINE 如何審查大陸用戶?如何避開它的審查?

資料來源:Global Voices AdvocacyCitizenLab

LINE 是大陸第二大手機即時通訊軟體,市場佔有率排在 WeChat 之後。透過反編譯 LINE 的程式碼,加拿大多倫多大學一份研究發現 LINE 審查大陸用戶的通訊內容,所有包含敏感字詞包括「法輪功」、「六四」等內容都被封鎖,該研究並提供避開審查的方法。

LINE 的快速成長

LINE 在 2011 年 6 月推出,現有 2 億 8 千萬用戶,在原產地日本以外,在泰國有 1,800 萬用戶,在台灣有 1,700 萬,在印尼則有 1,400 萬,LINE 在 2012 年 12 月與奇虎 360 科技有限公司合作推出中國品牌版本「連我」。

隨著越來越多人使用包括 LINE 等聊天軟體,各國政府紛紛以監控犯罪活動為由開始監視這些軟體的通訊內容。仔細看 LINE 的程式碼可發現不知是有意還是無意,LINE 為執法機構開啓了不少竊聽的後門。例如 LINE 在 3G 流動網絡的通訊內容都未經加密,任何有能力截聽這些通訊的人都可以獲取 LINE 的數據,包括通話的日期、時間、和內容。雖然 3G 流動網絡的通訊已經加密,不過這是靠電訊服務供應商進行的,換句話說他們隨時可以把內容解密。有論者推測,LINE 故意不把透過 3G 網絡的內容加密,好讓政府監視用戶的通訊。

關鍵字審查

2013 年 5 月 20 日 Twitter 用戶 @hirakujira 發現 LINE 的 iPhone 版本對大陸用戶進行內容審查,針對大約 150 個關鍵字。為了深入瞭解 LINE 的審查機制,多倫多大學反編譯了 LINE 的 Android 最新版本 3.9.3,他們發現當用戶在安裝的過程中把所在國家設定為「中國」,關鍵字審查的功能便會被啓動,LINE 會從伺服器下載關鍵字表,所有包含關鍵字的內容都會被封鎖。

安裝 LINE 時,它會詢問用戶所在的地區和電話號碼,LINE 會把四位數字的驗證碼以短訊發送到這個電話號碼。如果電話號碼中的國家代號,與用戶提供的地區名稱不相符,軟體會顯示錯誤訊息,並要求用戶重新輸入。一直以來用戶都會更改他們的地區設定,以便下載只提供給某些地區的內容,例如印尼的 LINE 用戶可以下載慶祝回教齋戒月的「貼紙」,這些內容是 LINE 的主要收入來源,可惜最新版本的 LINE 把地區設定加密,很大可能就是要防止用戶擅自更改地區設定,從而下載一些本來不能下載,或需要付費才能下載的內容。

研究顯示 LINE 在 2013 年 1 月 18 日推出的 3.4.2 版本已俱備關鍵字審查功能,LINE 是在 2012 年 12 月在大陸推出,換句話說在推出後不久它便開始審查用戶的通訊。被審查的關鍵字名單很可能是由奇虎 360 提供,但具體的管理方式目前尚不清楚。

關鍵字名單包括灰頭土臉的前中共政治家薄熙來,1989 年天安門鎮壓的 64 事件,中共內訌或黨內派系鬥爭的字詞,法輪功,一些俱爭議性的事件包括牽涉胡錦濤心腹官員令計劃的兒子的致命的法拉利車禍,和溫家寶家族的秘密財富等。@hirakujira 在一系列網址上發表 iPhone 版本上發現的關鍵字名單,這裡是一份總列表。多倫多大學發現的關鍵字名單則可在這裡下載。

有趣的是,LINE 的關鍵字名單與之前多倫多大學研究的兩個中文即時通訊軟體 TOM-Skype 和新浪 UC 的名單不相同,雖然有部分共通的主題,包括六四、法輪功等,但是在 LINE 的 370 個關鍵字中,只有 27 個與 TOM-Skype 和新浪 UC 的 4,256 個關鍵字名單重疊。

這情況說明政府沒有向這些軟體公司提供關鍵字名單,曾經有人研究過大陸的微博審查針對中國市場的本土化搜尋引擎審查,也發現類似的關鍵字名單不相同情況。總體而言,這些研究表明,對於什麼類型的內容和目標需要審查,軟體公司只是收到一般性的指引,至於如何落實這些指引,公司具有一定程度的靈活性。

避開 LINE 的審查

關鍵字審查只針對安裝地區為大陸的用戶,用戶只要把自己的地區設定為其他地方便可以避開審查,例如美國或加拿大。多倫多大學提供了一個「LINE 地區碼加密工具」,幫助 LINE 的用戶改變地區,從而避開審查。

中國政府「打贏」了互聯網意識形態戰爭

資料來源:Global Voices Advocacy, 阿波羅新聞

根據一項最新的研究,中國共產黨對輿論領袖在社交媒體和其他評論平台上的「意識形態戰爭」取得了勝利。

在近日召開的第十三屆中國網路媒體論壇上,人民輿情監測室秘書長祝華新發表一份名為《互聯網社會責任與輿論生態報告》,指出自從共產黨在今年八月收緊網上言論控制之後的初步影響,結果顯示在過去兩個月,在社交網絡和其他平台上的政治評論和對話大幅減少。

對網上言論的控制始於八月十日,當日國家互聯網信息辦公室召集了一群主要的網上意見領袖和名人,要他們接受包含「七不講」和「七條底線」在內的「自我審查準則」。所謂「七不講」是指普世價值、新聞自由、公民社會、公民權利、黨的歷史錯誤、權貴資產階級、和司法獨立。「七條底線」則是法律法規底線、社會主義制度底線、國家利益底線、公民合法權益底線、社會公共秩序底線、道德風尚底線、和社會真實性底線。八月十九日中國國家主席習近平在全國宣傳思想工作會議上表示,意識形態工作是黨的一項極端重要的工作,他下令中共的宣傳機器建立一支強大的互聯網審查隊伍,主力消除網上的「謠言」,對許多人來說,這標誌著中國網上言論審查進入一個更嚴厲的時代,任何不是來自官方渠道的訊息,都可視作謠言。

祝華新的報告顯示,自從收緊言論控制後,中共在公開網上平台取得了主導的地位,在主要的社交平台,由國家控制的媒體和政府分支機構發佈的訊息,大大超過了由「輿論領袖」發出的訊息及由網民發表的個人意見。

這份報告跟進了一群輿論領袖的新浪微博賬戶最近四個月的數據,八月十日前的兩個月,這群輿論領袖共發出了 72,481 條訊息,言論審查收緊後的兩個月,累計的訊息總數是 65,126 條,跌幅是 10.2%,九月十一日至十月十日期間,跌幅則達到 24.9%。

下圖來自祝華新的報告,顯示在 2013 年 8 月至 10 月三大板塊在新浪微博的發帖數量。

網絡輿論板塊的變化

2013 年 8 月至 10 月三大板塊在新浪微博的發帖數量比較 (圖片來源:求是理論網)

祝華新認為這證明在意識形態戰爭中,共產黨取得了勝利,他建議中共應進一步鼓勵學者和作家努力塑造中國互聯網文化,並邀請具專業背景人士,按其相關專業發表意見。他還強調,要持續打擊「網路水軍」(為私人公司有償地在網上發表意見的人),並讓國營媒體帶頭引導民意。

這份報告所顯示的趨勢令人擔憂。報告內的資料只是數量上的分析,但是由主要輿論領袖和網上知名人士發表的原創訊息,跌幅遠遠超過報告所說的數字。報告只統計新浪微博的信息數量,但是除了社交平台,網上討論區和社區也受到中共的意識形態戰爭影響。這份報告曾提及一個受歡迎的入門網站「天涯社區」:

在天涯社區的社會民生類話題中,9月份主帖數量下降60%,其中正面帖文總數下降34%,負面帖文總數下降63%。……帖文減少最多的是個人維權及反腐敗類資訊,佔所有減少量的70%。與此同時,天涯論壇帖文資訊正面率小幅上升6%。

2013 年 1 月至 8 月,平均每月有兩宗貪腐案件在網上被揭露,但到了 9 月,由市民揭露的貪腐案件一宗也沒有。

自然災害對一直是中國政府的敏感話題,這類報告在網上也似乎少了。例如今年七月在北京發生的暴雨和洪水,引發網上大量報導和評論,其中不乏對政府救災工作的批評。十月餘姚大水的報導便少得多,在北京暴雨事件的文章中,60% 含有一定份量的主觀評論,但是在餘姚打水的文章中,包含主觀評論的文章只有 15%。「客觀描述」的文章從七月份的 10% 上升到十月份的 56%。至於從國家通訊社轉載的文章比例則維持不變。

即使餘姚大水是件極具爭議性,網民明顯不願意發表意見。事件中數千名當地居民因不滿政府的救災工作到政府辦公大樓抗議,部分甚至襲擊當地公安。網民不願意報導這些事件是值得憂慮的,因為災害的報導可以改善救援的工作,並在緊急情況下為有需要人士快速提供幫助。

官方媒體只顧稱讚餘姚大水中政府的救災工作,卻對民怨一字不提。過去網民會公開批評官方媒體和政府官員的這種行為,但可能由於中共新的意識形態鬥爭,許多網民只是上傳照片和做客觀描述,避免任何主觀意見或判斷。

此外,大部分在新浪微博上顯示當地居民和公安之間的對抗的照片都已經消失。 極少數倖存的餘姚抗議事件的照片都是由未被驗證的帳戶(不當作「輿論領袖」)上傳,並只有極少數的追隨者,或者照片的說明中沒有使用「抗議」或「衝突」等字眼。

與此同時,海外新聞媒體收集了網上的照片,並在他們自己的平台上發表。新唐人電視台全面收集了網上有關餘姚大水的照片,並解釋了衝突的來龍去脈。但是這對中國沒有什麼直接影響,因為在國內大部分海外中文新聞網站都被封殺。

中共可能已經成功堵截了網上的批評,然而,當人們無法找到一個方式來發洩他們對不公義的憤怒,他們會找到另一個發洩口。最近在北京和山西的爆炸事件可能預示著一個新的戰場,一個每個參與者都是輸家的戰場。

商店利用 Wi-Fi 訊號追蹤我們的行為模式

資料來源:商店利用 Wifi 訊號追蹤我們的行為模式

你可以想像利用現有的科技,商店只便可以收集以下的資訊嗎?

  • 收銀處的平均等待時間是兩分鐘。
  • 你的客戶中有一半曾經一個星期兩次來你的的商店。
  • 百分之十進入你商店的人從來沒有走近收銀處,這意味著他們不買任何東西。
  • 有很多人沒有找到他們想要的東西。
  • 你的店門口東側的促銷攤位,比在西側的攤位更能使人們購買東西。
  • 這個地方是吸引了大多數客戶的熱點。
  • 一般客戶只購買的一件東西。
  • 百分之十的客戶曾經到過你旗下的其他商店。

這裡沒有什麼高深莫測的科技,純粹使用平常的技術,加上一點商業的聰明才智,便足以收集具體得令人吃驚的資訊。

秘密在每一部智能手機內的 Wi-Fi 和藍牙晶片,每一片晶片都有一個獨一無二的編號,稱為 MAC,可以說是這晶片的身份號碼,當你啓用手機的 Wi-Fi 功能,晶片便會搜尋附近的 Wi-Fi 路由器,並同時向四周散播自己的 MAC,透過這個機制你的手提電腦、手機等可以在家中接駁上 Wi-Fi 路由器,從而連接上互聯網。但在商店內,你的 MAC 被其他追蹤設備讀取,並用它來監視你的移動路線。

雖然沒有個人資料或隱私被竊取,但這些元數據 (Metadata) 有可能與其它來源的元數據互相匹配,揭露你的真實身份,並對你的行為模式和習慣有更全面深入的認識。

想避開這類型的監察並不容易,你可以在進入商店前關掉手機的 Wi-Fi 功能,但當你在外面的櫥窗瀏覽,或者駐足觀看他們的廣告板時,可能已經被他們偵測到。

另一個辦法是定時把手機的 MAC 地址更改,有些 Android 和 iOS apps 自動把 MAC 更改成隨機數字,但即使有這些 apps 幫助也不是一般人可以做到,例如 Android 手機便必須首先取得超級用戶的權限 (rooted device) 才能執行這些 apps。

中國騰達路由器藏有後門漏洞

資料來源:中國騰達路由器藏有後門漏洞

Craig Heffner 繼上星期發現 D-Link 路由器有後門漏洞後,現在又發現中國騰達 (Tenda) 生產的路由器有人為植入的後門,可以直接在路由器內以超級用戶 (root user) 的身份執行任何命令。

Craig 把路由器內的韌體反編譯,發現這是一個大幅改動的 GoAhead 網站伺服器,表面上所有與路由器的通訊都經過 WPS 或 WPA 加密,但其實只要發送一個包含特定字符串的 UDP 數據包,便可以取得路由器的控制權。下圖 Craig 示範怎樣讀取路由器的根目錄:

由後門進入騰達路由器根目錄
由後門進入騰達路由器根目錄 (圖片來源:/dev/ttyS0)

命令行中「w302r_mfg」便是進入後門的關鍵字。下圖示範怎樣啓動路由器內的 telnetd 從而進行更複雜的操作:

由後門啓動騰達路由器內的 telnetd
由後門啓動騰達路由器內的 telnetd (圖片來源:/dev/ttyS0)

關鍵字「w302r」可能表示這個後門最早在 W302R 型號中植入,不過在 W330R 也發現這個後門,還有經過品牌包裝但同屬騰達的 MediaLink MWN-WAPR150N 路由器,它們全部植有 「w302r_mfg」後門。