立即捐款

泡泡

從賣萌小貓到翻牆貼士,從網絡色情到網絡安全,泡泡提供未經審查的網絡新聞。Facebook:www.facebook.com/paopaonetizen 網誌

國際

佔中通訊神器FireChat的安全隱患

佔中通訊神器FireChat的安全隱患
廣告

廣告

(泡泡網報導) 在過去的幾天裡,香港有超過10萬個新用戶下載了FireChat移動短信應用程序。 FireChat在沒有手機信號和網絡的情況下仍然可使用,它的運行是基於用戶手機自己創建的一個網絡系統:每一部手機構建出一個節點,通過藍牙來傳送信息給其它的手機。不過「守護者計劃」(The Guardian Project)的隱私安全專家Nathan Freitas警告說,這款應用程序給示威者帶來了安全風險。

(更多香港佔領中環示威報導,點擊泡泡網民報告的「What's Up 香港」)

就在幾個星期之前,FireChat的開發者正在一個美國嬉皮士節日Burning Man上力推他們的這款應用軟件,當時其創意和技術人員正處於在內華達州的沙漠中。 FireChat就是為這樣的一個網絡信號接受差、但有大量通訊需求的地方而設計的,其初衷是幫助人們共享喝啤酒,聽音樂、和曬陽光浴的時間與地點。而香港示威人士正依賴這款應用軟件來聯繫彼此。

可連接,但「高度不安全」

Nathan Freitas表示,FireChat只提供給自由抗爭人士互相聯繫的可能,「但它並不是一款為高風險場合專門設計的軟件」。 Freitas說:「很多用戶還是擔心,他們在使用這款軟件之後會成為攻擊對象,或是手機通話被追踪。」

今年7月份,多倫多大學電子安全研究中心Citizen Lab發表報告,稱FireCha「對敏感內容的交流具有高度的不安全性」。此後FireChat也進行了安全方面的小調整,例如,增加了冒充其他用戶的難度,但大多數安全漏洞仍然存在。

當然,當你將手機帶到抗爭現場的時候,這部手機的供應商就已經能很輕易地追踪你的位置、攔截你的短信和通話內容了。移動運營商甚至可以直接發信息給示威者。今年年初在烏克蘭的示威活動中,每個示威者都接到了一個信息,警告他們已被官方登記在冊了。 Freitas也作為西藏自由學生運動的技術顧問,按照他的說法,對示威者進行手機監控和信號干擾在中國大陸確有發生。

通過卸下SIM卡和阻斷無線網絡,示威者能夠很大限度地削弱運營商追踪他們手機的能力,Freitas提示到。但很少有用戶會這麼做。 FireChat不僅可以在網絡可用的情況下利用網絡傳送信息,也可以僅僅依靠藍牙運行。 FireChat的公司Open Garden,也敦促香港的用戶在使用該應用程式時不要使用真實姓名,以減低風險。

FireChat洩漏數據

但是,即使用戶採取預防措施來保護他們免受運營商的追踪,通過其他方式的監控風險依然存在。 「FireChat洩漏大量的數據」Freitas指出,這些洩露的數據可以被用來確認用戶姓名、位置、和正在與誰交流等方面的信息。

Freitas 同時警告說,信息在從發送方傳送到接收方的過程中,也可被輕易截獲。 「其中沒有任加密程式需要破解」Freitas說。這意味著,技術含量很低的黑客,都可以輕鬆監控通訊方之間的交流。「監控方可輕易地編寫程式來搗亂FireChat的通訊內容。或者可以沖擊聊天室、阻止個別用戶等等」手段來干擾FireChat通訊。

由於FireChat相對仍十分新,可能還較安全。「一旦FireChat被盯上,其後果將十分惡劣》」Freitas說。就在今天(9月30日),推特上有用戶指出,中國已經在大陸封鎖了FireChat,這也說明FireChat已經被當局盯上。

這並非首次一個曾被使用者視為安全的平台突然被政府利用。在Tiwtter和Facebook等平台使用https加密之前,在阿拉伯之春期間,突尼斯等國家的活動者便使用這些平台來傳播信息。但當地政府很快就行動了,並記錄下這些在社交媒體上的社運活動。

儘管如此,Freitas認為FireChat目前正在扮演著一個很有價值的角色,因為它解除了移動運營商的控制,並提供一種即使在手機網絡被關閉或不堪重負的前提下,依舊能夠交流的渠道。「至少人們還可以相互交流,這恰好是活動人士唯一關心的事情。否則,他們會通過短信或者微信交談,而這些反而會使他們陷入更糟糕的情形。」

FireChat的替代

「另一方面」,Fieitas強調更好的替代品是存在的:「Serval Mesh是最理想的:它很容易使用,並且保障安全。」但Serval Mesh還沒有IOS版本。

下面列舉了其他專門設計用於私密交流的應用程序。這些僅是冰山一角:更多保障安全的交流方式和上網途徑是存在的:例如Commotion 和Tails ,但是這些應用程序對於用戶來說都不是很便捷。

「在理想的情況下,我設想需要額外安全保障的核心組織者和用戶,會使用Serval Mesh, ChatSecure 或Signal等,來進行重要的溝通。但是當街上成千上萬的人交流時,FireChat便發揮作用了。因為這些人只想知道'現在正在發生什麼'等信息。」

「未來將特別有趣,有這些新的程式供人們可以在這些情景下使用。」Freitas說,「這是一個非常積極的發展趨勢。我們不僅僅只是這些設備被動的消費者,同時也十分積極— —就像海盜電台一樣,具備強大的記憶內存和處理能力。」

Serval Mesh
+ 對通訊内容和元數據(地理位置、聯繫人等)進行加密
+ 手機信號與正聯網切斷的时候,也能夠使用
- 没有iOS版本

FireChat
- 容易被監控:通訊内容和元數據能輕易被獲取和監控
+ 手機信號與互聯網切斷的时候,也能夠使用
+ 安卓和iOS系统上均可使用

ChatSecure
+ 加密了通訊内容和元數據
- 只能在有互聯網的时候才可使用
+ 安卓和iOS系统上均可使用

Redphone (android) /Signal (iOs)
+ 加密了通訊内容和元數據
- 只能在有手機信號時才可使用

廣告