據(jù)國外媒體報(bào)道,加拿大廣播公司(CBC)獲得的絕密文件顯示,加拿大與其間諜合作伙伴利用目前最流行的手機(jī)瀏覽器之一的弱點(diǎn),計(jì)劃通過谷歌和三星應(yīng)用商店的鏈接入侵智能手機(jī)。
電子情報(bào)機(jī)構(gòu)在2011年末開始瞄準(zhǔn)UC瀏覽器,這是在用戶發(fā)現(xiàn)該瀏覽器泄露約5億用戶詳細(xì)信息之后。UC瀏覽器在中國和印度大規(guī)模流行的應(yīng)用,其在北美的使用也不斷增長。
他們?nèi)肭諹C瀏覽器和尋找更大的應(yīng)用商店漏洞,目的在于收集嫌疑恐怖分子和其他情報(bào)目標(biāo)的數(shù)據(jù)——另外,在某些情況下,向目標(biāo)智能手機(jī)植入間諜軟件。
2012年的文件顯示,監(jiān)測機(jī)構(gòu)利用某些移動應(yīng)用程序的弱點(diǎn)謀取其國家安全利益,但他們似乎并沒有向企業(yè)或公眾提醒這些弱點(diǎn)。這有可能讓數(shù)以百萬計(jì)的用戶處于數(shù)據(jù)被其他政府機(jī)構(gòu)、黑客和犯罪分子竊取的危險(xiǎn)之中。
“所有這一切都打著提供安全保障的旗號,但……加拿大民眾或世界各地的人們實(shí)際上被置于危險(xiǎn)的境地。”加拿大第一互聯(lián)網(wǎng)法律專家、渥太華大學(xué)的邁克爾·蓋斯特(Michael Geist)說道。
CBC新聞分析稱,該絕密文件與美國一家新聞網(wǎng)站有著密切聯(lián)系。該網(wǎng)站專門報(bào)道愛德華·斯諾登(Edward Snowden)披露的部分機(jī)密文件。
根據(jù)從斯諾登獲得的文件,所謂五眼情報(bào)聯(lián)盟——成員包括加拿大、美國、英國,澳大利亞和新西蘭的間諜小組,專門發(fā)掘各種途徑尋找和劫持連接到由谷歌和三星應(yīng)用商店服務(wù)器的數(shù)據(jù)鏈接。
2011年年底和2012年年初在加拿大和澳大利亞舉辦的多次研討會過程中,一個(gè)五眼的聯(lián)合情報(bào)技術(shù)團(tuán)隊(duì)試圖通過攔截下載或更新應(yīng)用時(shí)的傳輸信號向智能手機(jī)植入間諜軟件。
竊取大量數(shù)據(jù)
無論用戶何時(shí)在谷歌和三星商店下載或更新應(yīng)用,五眼聯(lián)盟都能瞄準(zhǔn)智能手機(jī)接受提示的服務(wù)器。
三星和谷歌未作評論。
該服務(wù)器提供了獲取全球數(shù)百萬智能手機(jī)海量流動數(shù)據(jù)的關(guān)鍵接入點(diǎn)。
蓋斯特說:“他們在尋找的東西顯然有共同點(diǎn),即數(shù)以千計(jì)、數(shù)以百萬計(jì)的互聯(lián)網(wǎng)用戶都積極參與的領(lǐng)域。因?yàn)樗麄冎廊绻麄兡苷业椒椒▉砝眠@些服務(wù)器,就將可得到大量網(wǎng)絡(luò)使用數(shù)據(jù),也許是利用那星星點(diǎn)點(diǎn)的數(shù)據(jù)建立相關(guān)性。”
根據(jù)該文件,最終,間諜機(jī)構(gòu)想要向特定的智能手機(jī)植入間諜軟件,從而控制一個(gè)人的設(shè)備或從中提取數(shù)據(jù)。
該間諜機(jī)構(gòu)旨在匹配這些目標(biāo)智能手機(jī)設(shè)備的在線活動,利用電子郵件數(shù)據(jù)庫、聊天記錄和瀏覽器歷史保存在五眼強(qiáng)大的XKeyScore工具中,來建立他們所追蹤個(gè)人的檔案文件。
建立這樣的匹配聯(lián)系是因?yàn)殡S著智能手機(jī)使用越來越多,和他們從數(shù)據(jù)中獲得財(cái)富,這些機(jī)構(gòu)有著巨大的預(yù)期目標(biāo)。
文件顯示,由于有著不暗中監(jiān)察對方公民的尊重協(xié)議,間諜團(tuán)伙只關(guān)注非五眼國家的服務(wù)器。該機(jī)構(gòu)瞄準(zhǔn)法國、瑞士、荷蘭、古巴、摩洛哥、巴哈馬和俄羅斯的移動應(yīng)用程序服務(wù)器。
加拿大電子監(jiān)控機(jī)構(gòu)通訊安全局(CSE),拒絕就其責(zé)任發(fā)表評論,稱這將違反信息安全法。
“CSE被授權(quán)收集國外情報(bào)訊號,以保護(hù)加拿大和加拿大民眾免受各種各樣的國家安全威脅,包括恐怖主義,”該機(jī)構(gòu)在一份書面聲明中表示,“CSE并不會在加拿大民眾或加拿大的任何地方的指導(dǎo)國外情報(bào)收集活動。”
英國政府通訊總部(GCHQ)表示,所有的工作“是在遵照嚴(yán)格的法律和政策框架進(jìn)行的”。美國國家安全局和新西蘭監(jiān)督局沒有回應(yīng)CBC的新聞。澳大利亞的信號情報(bào)機(jī)構(gòu)拒絕對此發(fā)表評論。
百萬用戶并不知情
五眼聯(lián)盟尋找各種途徑進(jìn)入移動應(yīng)用商店的服務(wù)器的同時(shí),他們還發(fā)現(xiàn)了中國科技巨頭阿里巴巴集團(tuán)旗下UC瀏覽器的安全漏洞。它是世界上最流行的移動瀏覽器,僅次于那些智能手機(jī)自帶的瀏覽器。
正如該情報(bào)團(tuán)隊(duì)所發(fā)現(xiàn)的,UC瀏覽器泄露了其用戶的電話號碼、SIM卡號碼以及鏈接到中國服務(wù)器的設(shè)備的詳細(xì)信息。
在數(shù)據(jù)流中,五眼分析師發(fā)現(xiàn)了某國軍事部門使用應(yīng)用程序作為一種隱蔽的方式來溝通它在西方國家的運(yùn)作。
文件寫道:“他們吹捧信號情報(bào)為發(fā)動政變提供了一個(gè)“之前以為不存在而如今可能已經(jīng)出現(xiàn)的機(jī)會”。
多倫多人權(quán)和技術(shù)研究小組Citizen Lab表示,UC瀏覽器直到最近仍然在泄露數(shù)據(jù),這使得百萬用戶的數(shù)據(jù)面臨著危險(xiǎn)。
“當(dāng)然,這個(gè)應(yīng)用的用戶不會知道這是怎么回事,”Citizen Lab主管羅恩·德伯特(Ron Deiber)說道。
“他們只是以為當(dāng)他們打開一個(gè)瀏覽器,然后瀏覽器做它該做的事。但事實(shí)上,它在泄露其所有的信息。”
Citizen Lab分析了安卓版本的應(yīng)用,并發(fā)現(xiàn)了其英語和中文版本存在“重大安全和隱私問題”。
國際安全與隱私
安全應(yīng)用程序通常對智能手機(jī)與服務(wù)器的信號傳輸進(jìn)行加密,例如下載或更新應(yīng)用來阻隔外界從中獲取用戶敏感信息。
然而,最近Citizen Lab發(fā)現(xiàn)泄露信息的安卓版UC瀏覽器并沒有這樣的保護(hù)程序。甚至某些信息泄露發(fā)生在應(yīng)用的關(guān)閉狀態(tài)中。
此外,該應(yīng)用通過加密技術(shù)傳達(dá)智能手機(jī)的定位信息,Citizen Lab稱現(xiàn)有的工具破解這種加密技術(shù)輕而易舉。
所有這些細(xì)節(jié)能讓一個(gè)政府機(jī)構(gòu)、黑客或犯罪份子得以追蹤一個(gè)人的行動,并找出他們的習(xí)慣、人物關(guān)系,甚至他們的興趣喜好。
Citizen Lab于四月中旬就此安全漏洞向阿里巴巴發(fā)出警報(bào),讓阿里及時(shí)修補(bǔ)該問題。5月15日,CBC新聞臺與阿里聯(lián)系之后,該公司發(fā)布了一個(gè)瀏覽器更新版本,對Citizen Lab指認(rèn)的問題進(jìn)行了修理。
“我們嚴(yán)肅對待安全問題,并不遺余力地保護(hù)用戶,”阿里巴巴發(fā)布聲明表示,“我們并未找到證據(jù)顯示任何用戶的信息被竊取。”
一位阿里巴巴知情人士聲稱,間諜機(jī)構(gòu)從來沒有提及該公司的應(yīng)用程序存在漏洞,并強(qiáng)調(diào)該應(yīng)用的信息泄露并非蓄意。
Citizen Lab測試更新,發(fā)現(xiàn)該應(yīng)用的泄露信息比英文版更多的中文版本——仍然未對搜索關(guān)鍵字進(jìn)行加密。
此事件起了人們對政府機(jī)構(gòu),甚至是地下機(jī)構(gòu),是否應(yīng)該負(fù)有告知民眾其已發(fā)現(xiàn)的設(shè)備、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)施安全漏洞的責(zé)任。
利用像UC瀏覽器這樣的應(yīng)用程序弱點(diǎn),“從非常狹隘的國家安全觀念出發(fā)是有意義的,但它卻是以全球數(shù)億用戶的隱私和安全為代價(jià)的,”德貝特說:“無疑,安全機(jī)構(gòu)不披露信息,反而掩藏該漏洞。這本質(zhì)上是將其武器化。”
蓋斯特爭論說,可以期望聯(lián)邦政府會保護(hù)加拿大民眾。“我們是受困于間諜機(jī)構(gòu)的圖謀——而從某種意義上說,我們的政府——正積極尋找軟件的漏洞或缺陷。”“這感覺在許多方面,就是我覺得大多數(shù)人對政府的期望都像在消退。”
但并不是所有人都同意這個(gè)觀點(diǎn)。加拿大皇家軍事學(xué)院教授、研究員克里斯汀·勒普卓(Christian Leuprecht)提出:“事實(shí)上某些渠道和設(shè)備的弱點(diǎn)并不是情報(bào)的終極問題。”
他表示,如果加拿大民眾關(guān)心的加密標(biāo)準(zhǔn)和隱私問題,他們可以游說政府打擊網(wǎng)絡(luò)運(yùn)營商、制造商和開發(fā)商。“因?yàn)槲覀兊男畔⑶閳?bào)機(jī)構(gòu)同樣可以追蹤數(shù)據(jù)、設(shè)備和服務(wù)器。”