Tuesday, 2 July 2019

警惕「貼身間諜」: 智能手機軟件被黑客侵入的危險

保羅·克揚(Paul Kenyon)喬·肯特( Joe Kent)
BBC記者

你有沒有想過:你的口袋裏實際上裝著一個監視器,對你的一舉一動了如指掌?

你是否擔心,黑客通過遠程遙控在手機上裝置監視軟件,可以進入手機的各種功能,包括加碼保密的信息、甚至可以控制麥克風和照相機等?

這樣的擔心和想像並非空穴來風,我們查到了很有說服力的證據,證明軟件在世界各地被用來跟蹤記者、活動人士和律師。

但是,另一個問題是:這些人為什麼要這麼做?我們應該如何應對口袋裏的手機成為監視裝置的潛在風險?

被列為武器的強大軟件

麥克·穆雷( Mike Murray) 是美國舊金山網絡安全公司Lookout的專家。這家公司幫助很多國家的政府、公司和消費者維護手機以及其中信息的安全。

他解釋了迄今為止研發的最精密監視軟件的強大功能:有的監視軟件非常有破壞性,被列為武器,只能在嚴格的條件下才能出售。

穆雷解釋說:「這一類的軟件操作系統可以通過全球定位系統GPS跟蹤。」

「它們可以在任何時候打開手機上的麥克風和相機,記錄下你周圍發生的一切。它可以偷偷進入你手機裏的各種社交媒體App,它偷看你所有的照片,你的聯繫人,你日曆上的信息,你的電子郵件和所有的文件內容。」

「它真的就可以把你的手機變成竊聽器,可以跟蹤你,偷看上面存的所有信息。」

雖然監視軟件已經被開發了多年,但是這樣尖端監視軟件的出現,標誌著我們進入了一個全新的世界。

這類監視軟件並非截獲傳送過程中已經加密的信息,而是截取仍在你手機裏的信息,掌控所有手機的功能,而且現在這一科技如此精密先進,你幾乎無法察覺。

墨西哥毒梟落網

墨西哥綽號為矮子(El Chapo)的毒梟華金·古茲曼(Joaquin Guzman)曾是價值數億美元毒品王國的掌門人。

他從監獄出逃後,因為有龐大系統的幫助和保護,在外逍遙了半年之久。他唯一的對外聯絡工具是加密的手機,理論上根本無法被黑客侵入。

結果,據稱墨西哥當局購買了新型的先進監視軟件,成功侵入華金·古茲曼身邊親信的手機,最後查到了他的藏身之處。

這位毒梟的落網顯示這一類的軟件在打擊恐怖主義和遏制有組織犯罪過程中可以成為重要的武器,很多人的生命可能因為這些軟件得救,很多暴力極端分子的活動得以遏制。而這些都是保安公司通過入侵加密電話和應用軟件App才得以實現的。

可是有什麼辦法防止購買這類軟件的人將尖端武器對凖他們要對付的目標?得罪政府的人士是否面臨被黑客入侵的危險?

英國博客作家成為目標

羅利·多納吉(Rori Donaghy)是一個博主,他關注中東國家的問題,還開辦了一個網站。

他一直報道阿聯酋的違反人權問題,其中包括外勞待遇到遊客觸犯法律等問題。

他的讀者群不過幾百人,他報道的標題並不像每天新聞裏出現的標題那樣具煽動性。

當他決定加入一個名為中東之眼(Middle East Eye)的新聞網站之後,奇怪的事情發生了:他開始收到不認識的人寄來的郵件,裏面帶了鏈接。

羅利·多納吉把其中一封看著很奇怪的電郵轉給了設在加拿大多倫多大學的研究組織「公民實驗室」 Citizen Lab)。這個研究室專門調查針對記者和人權工作者的網絡間諜活動。

公民實驗室證實,鏈接是要讓他把惡意軟件下載到手機上,也是為了告訴發送鏈接的人,他手機上有什麼類型的防病毒保護軟件,這樣惡意軟件才不會被察覺——這是高手段的標誌。

盯上羅利·多納吉的,原來是一家為阿聯酋政府工作的網絡間諜公司,專門監視被政府認定是極端主義和搞危害國家安全活動的組織。

他們甚至給羅利·多納吉起了個外號「吉羅」(Giro),而且一直在監視他的家人和他的一舉一動。

民權活動人士成為監視目標

阿赫邁德·曼蘇爾(Ahmed Mansoor)是得過獎的著名民權活動人士,在多年時間裏一直是阿聯酋政府監視的對象。

2010年,他收到了一個很可疑的短信,他也交給了公民實驗室。

公民實驗室的研究人員用一個空白的蘋果手機,點擊了短信中發來的鏈接,接下來他們看到的情況簡直讓人難以置信:他們親眼見到蘋果手機被遙控感染了病毒,上面的資料全部被傳送出去。

蘋果手機應該算市面上最安全的電話,但是間諜軟件,也就是此類軟件中最精密的一種,卻在蘋果系統中發現了一個安全漏洞。

蘋果公司因此不得不更新了世界上所有蘋果手機。

外界雖然不知道監視者從曼蘇爾的手機上究竟獲得了什麼信息,但他之後被捕並被判刑10年。他如今仍然被關在一間單人牢房裏。

在倫敦的阿聯酋大使館向BBC表示,他們的安全機構嚴格遵守國際凖則和阿聯酋法律,但是像所有國家一樣,對涉及情報的事情不予置評。

記者成為監控目標

2018年10月1日,記者賈瑪爾·卡舒吉(Jamal Khashoggi)走進了在土耳其伊斯坦布爾的沙特大使館,再也沒有出來。他被沙特特工謀殺了。

卡舒吉的朋友歐馬爾·阿卜杜拉奇茨(Omar Abdulaziz) 發現卡舒吉的手機早就被黑客侵入了,而黑客是沙特政府。

歐馬爾相信,卡舒吉的手機被黑與他最後被謀害有很大的關係。他倆之間經常聯繫,而且多次討論政治問題,討論彼此一起參與的項目。長期以來,沙特政府都可以拿到他們之間談話的內容,以及他們之間互相發送的文件內容。

對此沙特政府的回應是,雖然有針對卡舒吉手機的惡意軟件,但是沒有任何證據證明惡意軟件是沙特政府指使下裝的。

黑客逼近

2019年5月,在西方非常流行和普及的短信服務應用程式WhatsApp,突然出現了一次舉世關注的安全問題。

如果你以為這樣一個安全漏洞只是讓人可以偷聽WhatsApp上人們打電話的內容,那就未免太簡單了。

這個應用程式只是進入手機軟件的切入口:一旦打開,黑客就可以下載監視軟件。

被黑客盯上的用戶,甚至都不用點擊鏈接。用戶只要用WhatsApp打電話,再掛斷,手機就已經被黑客進入。這就是所謂的「零點擊」技術。

WhatsApp迅速為全球15億使用者推出了修復版,但是沒人知道這次黑客行動是誰在背後主使。本次WhatsApp成為黑客目標,下一次哪個應用程式會成為下一個目標呢?誰又會是那只幕後黑手呢?

反擊

這一類間諜監視軟件的開發商需要特別的出口許可,就像武器出口許可一樣。出售此類監視軟件的唯一目的是阻止嚴重犯罪行為。

但是公民實驗室收集了全部的檔案,列出了購買此類軟件的哪些政府有濫用的嫌疑。

與軍火銷售不同的是,此類監視軟件的開發者通常提供售後服務,負責維護軟件的正常運作與維修。那麼軟件被濫用,開發者是否也難逃罪責呢?

以色列公司NSO Group,是合法監聽信息市場上的領軍公司。這家公司已經營了快10年,每年利潤數百萬美元計。 

卡舒吉的朋友阿卜杜拉奇茨的律師將這家公司告上了法庭,指責它侵入了手機。這是非常重要的案件,將幫助規範軟件公司開發出產品之後所要承擔的法律責任。

NSO Group拒絶了採訪要求,但是發表聲明表示,他們的技術向獲得執照許可的政府機構提供防止和調查嚴重犯罪的工具,而且他們的技術已經拯救了很多生命。

與此同時,這一案件的律師開始收到神秘的WhatsApp電話.....

無法察覺的監視軟件什麼時候開發出來?

合法攔截信息產業的最終目標,就是要開發出百分百完全無法察覺的監視軟件。

如果做到這一點,就不會有人報告監視軟件被人濫用,因為此事將無人知曉。也就是說我們都落入軟件開發商的手中,而合法監視還是非法監視則無人能夠察覺。

這聽上去像是電影007里的故事,但是果真如此將給這個科技新世界帶來嚴重後果。

未來這樣的威脅是真實存在的,我們每個人都有必要牢記這一點。



from BBC中文網 https://www.bbc.com/zhongwen/trad/science-48744503