Android 手機用戶們, 在意你的隱私與手機自主權、 不希望你的手機被植入惡意軟體嗎? 請盡量改從開放原始碼的 F-Droid 市集下載軟體吧。 為什麼還沒買 android 手機的貴哥會發現而且敢推薦這個自己沒用過的市集? 這要從我讀了一篇文章開始說起: Activists on Front Lines Bringing Computer Security to Oppressed People 「社運前線人士把資訊安全帶給遭受迫害群眾」 (本文最主要參考資料)。 嗯, 我知道小格讀者多數並非 「遭受迫害群眾」, 但是閱讀他們的故事, 更能理解為什麼開放原始碼是保障個人隱私與資訊安全的第一步。
中國的 android 手機用戶無法從 google 官網下載 apps, 所以大家很習慣透過 e-mail 等等其他媒介胡亂安裝 apps。 這也替惡意入侵者營造了絕佳的社交工程騙術沃土。 (還好 外星人操控台北市政府砍 google 一事, 最後 沒有得逞; 臺灣人終於又可以從 google 官方的 play store 購買 android apps。) 三月間, 不明人士入侵西藏社運人士帳號後, 就是利用這個弱點進一步攻擊其他人。 入侵者以受害者的名義發送偽造的 e-mail 通知其聯絡人關於世界維吾爾高峰會議事宜。 但信件中名為 "WUC's Conference.apk" 的附檔其實是惡意改寫過的 android app。 如果收件人在 android 手機上點這個 apk 檔, 就會成為下一位受害者 -- 惡意程式被植入手機, 開始將通訊錄、 通聯記錄、 簡訊、 位置等等資訊傳到一個位於洛杉磯的伺服器 64.78.161.133。 [ citizen lab、 threat post、 threat post 安全之家博客、 大紀元 ] 這個 「蒐集受害者個資」 的伺服器所對應到的網域名稱 DlmDocumentsExchange.com 是由一名自稱 peng jia 人士, 透過上海美橙互联, 在三月八日才剛註冊的; 現在已經失效。 有趣的是: 同一個網站底下另一個內含相同惡意程式的 apk 檔, 內容卻是全國政協大會發言人對釣魚島的評論。 Secure List 有詳細的技術資訊。 進行技術分析的資安專家表示: 這次的攻擊行動先入侵西藏人的帳號, 再拿它來攻擊維吾爾人的帳號, 看來意欲挑撥兩族之間信任關係、 引發彼此猜忌的意圖很明顯。
揭發此次攻擊事件的是卡巴斯基資安實驗室以及多倫多大學國際關係學院的 Citizen Lab。 實驗室主任 Ronald Deibert 表示: 「大家都認為網際網路、 行動電話、 社交媒體對於非營利公民團體有很大的幫助。 但攻擊者也找到切入點可以置這些公民團體於險境。 這些公民團體欠缺警覺性與資源。 政府只關注私人企業而放任這些公民組織毫無招架之力地曝露在攻擊威脅之中。」 他也提及先前敘利亞政府在 skype 植入後門程式入侵反抗軍及阿拉伯之春運動人士帳戶的事件, 並且指出在中國, 政府要入侵公民帳戶更加容易, 因為最高層的 數位證書認證機構 (Certificate Authority, 簡稱 CA) 也是由政府一手掌控, 所以可以輕而易舉地對公民進行 man-in-the-middle attack 中間人攻擊 (中文)。 「獨裁政府越來越懂得對那些使用資訊科技溝通的公民團體下手, 操弄他們手中的科技、 降低他們的行動力、 找他們的碴。」
藏裔加拿大人 Lhadon Tethong 曾經因為撰寫部落格報導西藏人爭取人權而被中國政府驅逐出境。 後來她得到手機安全專家 Nathan Freitas 的技術協助, 成立公民組織 Tibet Action Institute, 教育西藏的民眾提升資訊安全意識、 小心惡意的手機 app、 保護自我隱私。 她表示: 「過去兩年以來, 西藏人透過手機或網路與外界的溝通過程中, 遭到監控/入侵/釣魚的情況越來越嚴重。 ... 在西藏, 單單只因為跟外界通聯, 你可能就會招致兩年、 五年、 或七年的牢嶽之災。」 Tethong 自己早在 2011 年就曾遭到上海浦東解放軍 61398 部隊的惡意軟體攻擊, 也很有警覺地將樣本寄給 Citizen Lab 分析。 直到今年初, 一份資安報告終於提出諸多具體證據證實: 這支部隊長期透過釣魚等等技術, 對美、 加、 英等國企業進行網路情搜。 [ 中文、 英文] (美國這份與西藏完全無關的報告問世之後, 網路上又有人 冒用這份報告的名義傳遞惡意的 pdf 檔, 把開啟 pdf 的收件人導到一個用來入侵西藏用戶的網站, 讓人不禁好奇這又是誰的傑作...)
Lhadon Tethong 與 Nathan Freitas 又啟動了 Guardian Project, 致力於開發 「保護用戶隱私與匿名」 的相關 apps。 他們的 apps 採用自由軟體開發, 而其開發成果也以開放原始碼的方式置於 github。 他們並且成立了 F-Droid 市集 專門搜集 android 上的自由軟體 apps。 除了 Guardian Project 自己開發的軟體在這裡上架之外, 也開始有很多人自行撰寫 apps 放到 F-Droid 上。 因為這些 apps 的程式碼都攤在陽光下, 所以惡意軟體很難混進去。 F-Droid 所要照顧的對象, 並不局限於西藏人與維吾爾人。 任何在意手機自主權與隱私的民眾 -- 特別是敘利亞、 埃及之類 「政府透過網路或手機監控公民」 的國家民眾 -- 也都可以受惠。 採用自由軟體, 也許無助於擺脫 美國 FBI 的偽基地臺 Stingray, 但至少在軟體的層次比較安全。 在這個 程式碼就是法律 的年代, 具有高度資訊安全意識的手機用戶會盡力確保只允許看得見條文的法律 -- 看得見原始碼的程式 -- 進駐他的手機。 這樣的堅持, 重點不在於 app 是否免費、 也不在於你自己是否看得懂程式原始碼, 而在於透過眾目睽睽的透明機制來確認: 這些法律條文是在服務你, 而不是在綁架你的手機、 藉以刺探你的隱私或用其他方式傷害你。
也藉這個機會談一下 「android 因為開放所以不安全」 的迷思。 事實是: android 上面的多數 apps 因為沒有開放原始碼及相關驗證機制, 所以不夠安全。 現在既然出現了採取 Debian Linux 社群管理機制的 F-Droid, 在 Firefox OS 手機成為主流之前, F-Droid 很有可能將成為最安全且沒有 言論管制 的手機 app 市集。 惡意軟體如果想要混進這樣的市集, 入侵官網可能是相對最簡單的方式。 沒錯, 這十多年來, 這樣的入侵行動, 在 Linux 作業系統與自由軟體界確實發生過幾次, 但其中只有一次成功將修改過、 具後門的惡意版本上架, 而且在造成大規模危害之前就被識破且移除。
再換個方式思考: 這些人所面對的是身家性命的安危。 他們的手機比你我都更有機會被入侵, 而遭受入侵的後果也比你我個資外洩都更可能攸關生死; 但是他們不見得比你我更懂得撰寫 C/C++/Java。 他們為什麼選擇信任自由軟體? 這是主張 「開放原始碼, 大家都看見, 所以不安全」 的人, 又一次無法回答的問題。
可悲的是, 因西藏人失去私密通訊自由而誕生的這份資訊安全禮物, 他們自己能否享用卻都還是個未知數。 北京政府似乎並不滿足於透過地下手段綁架西藏社運人士的手機或 企圖攻擊達賴喇嘛的 Mac。 西藏人權與民主組織 TCHRD 也在三月間 報導: 北京政府開始對西藏各大都市 -- 特別是喇嘛寺 -- 進行盤點, 對個人手機強制進行 「安全檢查」。 訊息被封鎖的西藏, 能夠傳出這樣幾句話已經很不容易了; 從那篇報導裡, 我也無從理解這個 「對僧侶進行手機安全檢查」 "security screenings of cellphones owned by the monks" 到底是搜括通訊錄/簡訊等等隱私個資、 禁止使用 F-Droid、 還是強行植入北京政府所寫的惡意軟體。 (聽起來跟 微軟口中的 「安全」 有相似的味道。) 我們只能為西藏朋友們祈禱、 祝他們終於有一天能夠像其他正常健康社會的公民一樣擁有隱私、 能夠被允許用自由軟體透過 VPN (或學會使用 gpg) 跟外面的世界自由地進行私密通訊。 這無關乎藏獨與否。 這只是身為廿一世紀地球人一項基本的人權, 一項 「北京政府無意允許自己國家的公民行使」 的基本人權。
* * * * *
(本文也刊載於 泛科學)
手邊沒電腦; 口頭推薦本文嗎? 可以請您的朋友搜尋 「西藏 f-droid」 或 「西藏 android 隱私」。