立場新聞 Stand News

新疆居民被迫安裝手機監控軟件 報告揭程式收集大量資料 過程無加密

2018/4/10 — 18:23

新疆當局去年要求市民安裝一款明為「淨網衛士」的手機程式,以監控手機內是否存有「暴力恐怖」、「非法宗教」等內容。美國開放技術基金(Open Technology Fund)昨日(9日)發表研究報告,揭示程式將大量市民手機資料上傳至伺服器,傳送時沒有加密保護。他們又公布4.7萬條檔案識別碼,希望外界協助分析中國試圖審查的檔案內容。

去年7月,自由亞洲電台報道稱,新疆維吾爾自治區烏魯木齊市天山區政府發出《關於使用手機暴恐音視頻自查軟件的通知》,要求市民安裝一個名為「淨網衛士」的手機程式以作自查。該通知表明,程序可以自動定位「暴力恐怖」、「非法宗教」等視頻、相片、電子書,並讓用戶點擊刪除內容,如不及時刪除將會被依法追究責任。

該報道又指,在市民安裝程式後數日,警方隨即抓捕了十名哈薩克族婦女,並指她們在微信群討論「不該談論」的內容。報道引述消息指,被拘留的哈薩克族網民,大部分是與討論移民哈薩克斯坦國有關。

廣告

開放技術基金由美國政府資助,並隸屬於自由亞洲電台之下。基金昨日(9日)發表報告,揭發「淨網衛士」的運作模式。程式能夠取得用戶的大量資料,包括是手機IMEI 序號、型號、電話號碼及製造商。

程式又會掃描手機上的檔案,包括HTML、文字檔及圖片等。透過收集檔案的名稱、儲存路徑及「MD5 hash」,與伺服器的資料庫作對比,從而找出「危險」的檔案並提醒用戶刪除。「MD5 hash」可被視為是一種獨有的識別標籤,可以在所有的手機檔案中找得到。

廣告

報告又指出,不論手機是否有「危險」內容,「淨網衛士」都會將用戶手機內的所有檔案資料,上傳到伺服器作監控之用,且所有資料在傳送時並沒有加密保護,可以輕易被人入侵。

目前仍未知道,「淨網衛士」會將怎樣的內容視為「危險」內容,但開放技術基金就公布了4.7萬條「MD5 hash」,呼籲外界利用這批評數據,調查官方是要試圖審查怎樣的手機檔案。

負責今次調查的Adam Lynn指,市民是被政府強迫之下使用「淨網衛士」,然而程式卻沒有適當措施以保護用戶私隱:「程序在技術上欠缺安全,讓用戶輕易受中國政府以外的第三方作進一步攻擊。」

相關報道:

BuzzFeedMotherboard

發表意見