受不了手机屡被入侵、监控,西藏人成立安全的自由软体市集 F

2020-06-23

受不了手机屡被入侵、监控,西藏人成立安全的自由软体市集 F

Android 手机用户们,你在意你的隐私与手机自主权、不希望你的手机被植入恶意软体吗?

请尽量改从开放原始码的 F-Droid 市集下载软体吧。

为什幺还没买 Android 手机的贵哥,会发现而且敢推荐这个自己没用过的市集?这要从我读了一篇文章开始说起。〈Activists on Front Lines Bringing Computer Security to Oppressed People 〉(中译为「社运前线人士把资讯安全带给遭受迫害群众」,为本文最主要参考资料。)

嗯,我知道会读这个专栏的读者多数并非「遭受迫害群众」,但是阅读他们的故事,更能理解为什幺「开放原始码」(Open Source)是保障个人隐私与资讯安全的第一步。

 中国 Android App 下载无章法,社运人士因此容易被恶意 App 入侵

中国的 Android 手机用户无法从 Google 官网下载 App,所以大家很习惯透过 e-mail 等其他媒介胡乱安装 App。这也替恶意入侵者营造了绝佳的社交工程骗术沃土。(还好, 外星人操控台北市政府砍 Google Play 一事,最后  没有得逞 ;台湾人终于又可以从 Google 官方的 store 购买 Android App。)

三月间,不明人士入侵西藏社运人士帐号后,就是利用这个弱点进一步攻击其他人。入侵者以受害者的名义发送伪造的 e-mail,通知其联络人关于世界维吾尔高峰会议事宜。但信件中名为「WUC’s Conference.apk」的附档其实是恶意改写过的 Android App。如果收件人在 Android 手机上点这个 apk 档,就会成为下一位受害者 -- 恶意程式被植入手机,开始将通讯录、通联记录、简讯、位置等等资讯传到一个位于洛杉矶的伺服器 64.78.161.133。(详细情节可参考: citizen lab、threat post、threat post、安全之家博客 、 大纪元)

这个「蒐集受害者个资」的伺服器所对应到的网域名称「DlmDocumentsExchange.com」,是由一名自称 peng jia 人士,透过上海「美橙互联」,在三月八日才刚注册的;现在已经失效。

有趣的是,同一个网站底下另一个内含相同恶意程式的 apk 档,内容却是全国政协大会发言人对钓鱼岛的评论。(Secure List 有详细的技术资讯。)进行技术分析的资安专家表示,这次的攻击行动先入侵西藏人的帐号,再拿它来攻击维吾尔人的帐号,看来意欲挑拨两族之间信任关係、引发彼此猜忌的意图很明显。

 独裁政府工具一手抓,能轻易操弄社运人士手中的科技装置

揭发此次攻击事件的是卡巴斯基资安实验室,以及多伦多大学国际关係学院的 Citizen Lab。 实验室主任 Ronald Deibert 表示,「大家都认为网际网路、行动电话、社交媒体对于非营利公民团体有很大的帮助。但攻击者也找到切入点可以置这些公民团体于险境。 这些公民团体欠缺警觉性与资源,政府只关注私人企业,而放任这些公民组织毫无招架之力地曝露在攻击威胁之中。」

他也提及,先前叙利亚政府在 Skype 植入后门程式,入侵反抗军及阿拉伯之春运动人士帐户的事件;并且指出在中国,政府要入侵公民帐户更加容易,因为最高层的  数位证书认证机构(Certificate Authority,简称 CA)也是由政府一手掌控,所以可以轻而易举地对公民进行 man-in-the-middle attack  中间人攻击 。

「独裁政府愈来愈懂得对那些使用资讯科技沟通的公民团体下手,操弄他们手中的科技、降低他们的行动力、找他们的碴。」

藏裔加拿大人发现,西藏人的手机、网路多次受到监控、入侵、钓鱼

藏裔加拿大人 Lhadon Tethong 曾经因为撰写部落格报导西藏人争取人权而被中国政府驱逐出境。后来她得到手机安全专家 Nathan Freitas 的技术协助,成立公民组织 Tibet Action Institute,教育西藏的民众提升资讯安全意识、小心恶意的手机 App、保护自我隐私。

她表示,「过去两年以来,西藏人透过手机或网路与外界的沟通过程中,遭到监控/入侵/钓鱼的情况越来越严重。 …… 在西藏,单单只因为跟外界通联,你可能就会招致 2 年、5 年、或 7 年的牢狱之灾。」

Tethong 自己早在 2011 年就曾遭到 上海浦东解放军 61398 部队 的恶意软体攻击,也很有警觉地将样本寄给 Citizen Lab 分析。直到今年初,一份资安报告终于提出诸多具体证据证实:这支部队长期透过钓鱼等等技术,对美、加、英等国企业进行网路情搜。(中文 、  英文  资料)

(但美国这份与西藏完全无关的报告问世之后,网路上又有人 冒用这份报告的名义传递恶意的 pdf 档 ,把开启 pdf 的收件人导到一个用来入侵西藏用户的网站,让人不禁好奇这又是谁的杰作……)

专放自由软体的  F-Droid 市 集 ,「被监控高危险群」的一大福利

Lhadon Tethong 与 Nathan Freitas 又启动了 Guardian Project,致力于开发「保护用户隐私与匿名」的相关 App。他们的 App 採用自由软体开发,而其开发成果也以开放原始码的方式置于 github。他们并且成立了 F-Droid 市集 ,专门搜集 Android 上的自由软体 App。

除了 Guardian Project 自己开发的软体在这里上架之外,也开始有很多人自行撰写 App 放到 F-Droid 上,因为这些 App 的程式码都摊在阳光下,所以恶意软体很难混进去。F-Droid 所要照顾的对象并不局限于西藏人与维吾尔人,任何在意手机自主权与隐私的民众 -- 特别是叙利亚、 埃及之类「政府透过网路或手机监控公民」的国家民众 -- 也都可以受惠。

採用自由软体,也许无助于摆脱  美国 FBI 的伪基地台 Stingray,但至少在软体的层次比较安全。

在这个  程式码就是法律  的年代,具有高度资讯安全意识的手机用户会尽力确保只允许看得见条文的法律 -- 看得见原始码的程式 -- 进驻他的手机。

这样的坚持,重点不在于 App 是否免费、也不在于你自己是否看得懂程式原始码,而在于透过众目睽睽的透明机制来确认,这些法律条文是在服务你,而不是在绑架你的手机、藉以刺探你的隐私或用其他方式伤害你。

因为开放原始码,所以才安全

也藉这个机会谈一下,「Android 因为开放所以不安全」的迷思。事实是,Android 上面的多数 App 因为没有开放原始码及相关验证机制,所以不够安全。

现在既然出现了採取 Debian Linux 社群管理机制的 F-Droid,在  Firefox OS 手机成为主流之前 ,F-Droid 很有可能将成为最安全且没有 言论管制  的手机 App 市集。恶意软体如果想要混进这样的市集,入侵官网可能是相对最简单的方式。

没错,这十多年来,这样的入侵行动 在 Linux 作业系统与自由软体界确实发生过几次 ,但其中只有一次成功将修改过、具后门的恶意版本上架,而且在造成大规模危害之前就被识破且移除。

再换个方式思考,这些公民团体所面对的是身家性命的安危。他们的手机比你我都更有机会被入侵,而遭受入侵的后果也比你我个资外洩都更可能攸关生死,但是他们不见得比你我更懂得撰写 C、C++、Java。

他们为什幺选择信任自由软体?这是主张 「开放原始,大家都看见,所以不安全」 的人,又一次无法回答的问题。

可惜的是,藏人不一定能享受到 F-Droid 带来的安全

可悲的是,因西藏人失去私密通讯自由而诞生的这份资讯安全礼物,他们自己能否享用却都还是个未知数。

北京政府似乎并不满足于透过地下手段绑架西藏社运人士的手机,或  企图攻击达赖喇嘛的 Mac。西藏人权与民主组织 TCHRD 也在三月间  报导 ,北京政府开始对西藏各大都市 -- 特别是喇嘛寺 -- 进行盘点,对个人手机强制进行「安全检查」。

讯息被封锁的西藏,能够传出这样几句话已经很不容易了;从那篇报导里,我也无从理解这个「对僧侣进行手机安全检查」(「security screenings of cellphones owned by the monks」)到底是搜括通讯录/简讯等等隐私个资、禁止使用 F-Droid、还是强行植入北京政府所写的恶意软体。(听起来跟  微软口中的「安全」 有相似的味道。)

我们只能为西藏朋友们祈祷,祝他们终于有一天能够像其他正常健康社会的公民一样拥有隐私、能够被允许用自由软体透过 VPN(或学会使用 gpg)跟外面的世界自由地进行私密通讯。

这无关乎藏独与否。这只是身为廿一世纪地球人一项基本的人权,一项「北京政府无意允许自己国家的公民行使」的基本人权。

(图片来源:Malte Ahrens, CC Licensed)

上一篇: 下一篇:

相关新闻

推荐阅读