Cartoon by Matt Bors for Storymaker.cc (CC BY-NC-SA 2.0).

图片:Matt Bors Storymaker.cc (CC BY-NC-SA 2.0)

感谢 Nathan FreitasOiwan Lam 对本文的贡献

在9/29礼拜一,嗜用社群媒体人士以及西方媒体大量报导香港泛民主示威者使用FireChat的消息。虽然它们夸大了这个应用程序的流行现象,但了解真实情况的运动者和安全研究者认为,有必要让大众了解它的功能和极限。

首先,FireChat是个聊天室而不是仅做为通讯的应用程序,本身可做为平台发送不安全、公开的讯息给网络上或是邻近的人。

一旦下载了FireChat,使用者必须以真实姓名登入(它会自动以使用者在iOS或Android手机上的姓名登入),同时也必须提供使用者名称以及email。登入之后,使用者便得以加入在线聊天室、开辟新聊天室,或直接传送讯息给周遭也联机上FireChat的人。这些讯息透过蓝芽由手机传播,因此当谣传香港当局打算关闭行动网络时,FireChat因为不一定需要网络联机,而被视为是不受此举影响的聊天方式。

许多人对FireChat的功能、隐私和安全问题有错误认知,以下我们就一一解释:

FireChat并不安全,它不是为了保护用户的隐私或讯息的安全与机密而设计的。

FireChat没有用户认证系统。如果讯息是透过某个名人(如某位示威组织者或记者)传送,系统无法认证是否真为其人。攻击者可以轻易地伪装成特定名人散播不实讯息或链接,引诱他人透过点击下载监控软件。过去几周便有在地运动者于不同场合遭遇类似的情形。

熟知FireChat的信息安全专家建议运动者不要使用真实姓名,同时要避免用其传送私密或敏感讯息。要记得示威者中有人透过FireChat渗透进行信息收集,而这些信息不仅储存在用户的手机上,也在未加密的网络中散布。关于FireChat的详细分析,可以阅读这个由多伦多大学公民实验室公布的研究(仅有英文版)。

使用蓝芽有安全风险。不管使用FireChat与否,蓝芽不仅让手机更易招致攻击,也会让渗透者有机会列举、确认示威者彼此连结的手机。事实上,近几天已经出现不少报导指出香港示威者遭到监控软件攻击的事件。

虽然其中有些没有根据,但有可靠报导指出已有大量讯息锁定占中以及香港学生罢课参与者,藉此引诱他们下载、安装为了示威活动而设计的应用程序,事实上这些都是监控软件,用以追踪来电、窃取email和联系人数据,列出并定位用户的地理位置。

其中的一项攻击是由WhatsApp大量散布。示威者应该在接收到建议他们下载、安装应用程序时保持警戒。尤其是他们先前没有提出需求,却收到下载与安装的建议时,更要小心。

虽然报导目前只提及WhatsApp会散布恶意软件,但是类似的攻击应该也会透过论坛、email、FireChat如法炮制。

BynY07jCYAES3L9

给示威者的建议

来自图博行动学会(The Tibet Action Institute)的专家研发出CyberSuperHero这个拥有中、英文版本的安全软件。他们认为示威者和数字行动者应该同时利用行动网络固定的网络联机,他们也提供全球之声以下的简单方法。

1. 不要点击透过简讯、蓝芽或群组聊天讯息发送的未知链接。
2. 如果不需要上网,把手机设定在飞航模式 ──手机仍然有拍照等的功能,但是不会被追踪或收到垃圾讯息。
3. 一定要设定手机的PIN码或密码,因为在被拘留或手机被偷的时候,可以藉此保护和朋友、群组、人际网络相关的资料。
香港人要意识到使用通讯和出版应用程序潜藏的危机,并且要对潜在的攻击保持警觉,这点非常重要。在示威者行动增温、而香港政府面临国际压力必须减少警力干预运动的此刻,计算机和行动载具的攻击可能会越来越多。

译者:kumila

作者 Claudio Guarnieri · 译者 GV 中文化小组 · 阅读原文 en · 则留言 (0)
分享: HEMiDEMi MyShare Shouker twitter facebook reddit googleplus

本文由自动聚合程序取自网络,内容和观点不代表数字时代立场

墙外新闻实时更新 欢迎订阅数字时代