Sunday 13 October 2019

华盛顿邮报:据分析,“学习强国”app可以收集其一亿多用户的手机数据

文章大意(若翻译有误,请指正,谢谢):

据分析,“学习强国”app可以收集其一亿多用户的手机数据

中共可以通过“学习强国”app的后门来获得“超级用户”权限,以获取其一亿多用户手机的资料。

根据一项美国资助的,对“学习强国”app代码的分析,它可以使(北京)当局通过此app获得其用户手机上的短信、照片、通讯录以及浏览器历史。“学习强国”也可以随时使用手机的录音功能。

“中共基本上可以使用此app访问其超过1亿用户手机的数据,”开放科技基金(Open Technology Fund)的技术总监Sarah Aoun说,“(中国)政府高层正打算扩大其监控范围,并将其监控范围扩大到公民的日常生活中。”
(注:开放科技基金(Open Technology Fund)由美国政府旗下的亚洲自由电台资助。)

由习近平领导的中共在今年1月推出了“学习强国”app。这个app的名字是双关语,因为中文“学习”二字里面包含了习近平的姓。(废话

此app包含许多关于 “习近平的事迹,以及 习近平新时代中国特色社会主义思想” 的文章和视频。用户还可以通过阅读文章,写评论以获得积分,再加上其排行榜功能,使得其用户在使用app的同时获得一种竞争感(和成就感)。

此app可以在iOS和安卓(Android)系统上使用,所以它被称为“习近平的高科技红宝书”。其目的的是增强中共对中国人民意识形态的掌控。

自从“学习强国”推出以来,很快的,它成为中国下载量最高的app,这包括苹果应用商店(App Store)的中国区。官方媒体在4月报道称,它拥有超过1亿的用户。 由于谷歌(Google)在中国被封锁,因此安卓(Android)用户必须通过其他方式下载该应用。苹果应用商店(App Store)已经对此app禁评/禁止打分。

许多人一直怀疑"学习强国”app具有病毒性质。尽管许多中国人也知道,(北京)当局可以随时访问他们电子产品中的数据,因为两年前中共颁布的一项“网络安全法”要求所有科技公司与政府共享用户数据。

数据取证

开放科技基金(Open Technology Fund)与德国网络安全公司Cure53合作,以破解“学习强国”app及确认其所具备的隐藏功能。由于 “学习强国”app本身所含有的防破解代码,使程序员无法完全分析该应用程序的隐藏功能,但Cure53程序员发现,这些代码相当于手机的后门。这些代码能够使app获取“超级用户”的权限并运行系统的任意指令。

此类权限无异于 管理员级别的用户手机访问权限,所以这种代码通常被认为是恶意代码。 “超级用户”权限使开发人员可以在手机上下载任何app,修改任何的文件,数据,以及安装监控手机键盘的程序。

开放科技基金(Open Technology Fund)的研究总监亚当·林恩(Adam Lynn)表示:“需要这种超级用户权限的应用非常罕见,除非您需要刷机/玩机,否则app没有拥有这些权限的理由。”

“分析应用程序很重要。(中共)竭力的想要阻止他人对此应用程序的分析,只会让我们进一步加深对此应用程序的调查。”他说。

该基金会在关于Cure53的评论中写道,“根据调查,我们无法揭示此应用程序如何处理所在用户手机上所收集的代码或信息。但是,为什么 一个所谓的关于教育的应用程序 会试图在用户手机上执行只有最高权限才能执行的命令?对于此应用程序的分析报告,将于周一(10月14日)发布。

“学习强国”由中共宣传部与中国科技巨头阿里巴巴合作开发。根据该应用程序的条款显示,用户必须同意该应用程序访问其大量信息和功能,包括:
允许存取和拍摄照片&视频,传送用户的地理位置,录音,拨号,存取用户的联系人,上网记录,以及存取其他960种其他应用程序的信息,包括购物app,旅行app社交,聊天软件。 它甚至拥有连接到WiFi并打开手电筒的功能。

“'学习强国'app可以接管整个设备,并且可以发送信息(给中共的服务器)。”Lynn说。


学习强国是怎么运行的

调查发现,“学习强国”可以随时收集并发送详细的日志报告,其中包含大量的用户数据和应用活动记录。

国务院新闻办公室作出回应,否认该应用程序包含此类功能。

“我们从开发“学习强国”app的程序员那里了解到,你们这是一派胡言。”国务院新闻办公室声明说。

阿里巴巴对此拒绝回应。但他们此前发表说,学习强国是基于一款即时聊天软件“阿里钉钉(DingTalk)”开发的。

阿里钉钉(DingTalk)的发言人试图甩脱其子公司与该应用程序的关系。

其发言人在阿里巴巴转发的申明中说:“ 阿里钉钉DingTalk是一个开放的技术平台,其技术工具套件可用于其他应用程序的独立开发,并且没有任何“后门代码”或者“检测”问题。”

但是来自阿里巴巴的指纹(fingerprint)遍布了整个应用程序。开放科技基金(Open Technology Fund)表示,包含“后门”代码的应用程序包(packages)的值分别为“ aliyun和Alabama”,这表明这些应用程序包(packages)是由阿里巴巴或阿里云创建并维护的。

阿里巴巴的创始人马云(Jack Ma)在美国有一系列投资,包括来福车公司(Lyft)。

如果要使用该应用程序,用户必须使用其真实姓名和手机号码进行注册。因为在中国购买手机卡(sim card)必须使用其身份证绑定,因此方便政府追踪。

“使用‘学习强国’app就是给自己带了副电子手铐。”一个来自于中国的Twitter用户写道。“太可怕了。”(此Twitter用户自称自己是中国的独立研究员。)

在中国使用该应用程序并非完全自愿。中共命令其党员,干部,以及许多企业员工下载并使用该app。

北京朝阳律师协会,北京大学,湖南科技职业技术学院,还有济南一家公交公司的成员必须使用该应用程序。

香港特首林郑月娥正在承受香港人民的怒火。但北京会更加暴怒。

从本月开始,北京大约一万名记者和报社编辑将参加一项试点测试,该测试预计将在全国范围内进行。测试内容是:关于“习近平新时代中国特色社会主义思想”。

中宣部媒体监督办公室明确表示,只有通过测试的人才能获得新的中国记者证。

上个月,有60位学习强国“高级玩家”被邀请去北京,在天安门广场的人民大会堂观看特别的艺术表演。

安徽省池州市环境局副局长马卫中说,他知道自己要去的时候,他感到“心血澎湃”。 “我感到既自豪又荣幸,也很有责任心,”今年1月开始使用该应用程序的马卫中对当地媒体说。

其他人可能就没那么高兴了。因为某些企业强行要求员工使用app并记录其使用时间。

一位不满的用户在微博上写道:“有时候,哪怕我孩子都睡了,我还得在学习强国上刷够分,否则我将会被扣工资。”另一位则抱怨说他必须写2000字的自我批评,因为他在学习强国上没有获得足够的积分。

开放科技基金(Open Technology Fund)得出的结论是,该应用程序包含的恶意代码应引起用户和应用商店所的关注。

“很明显,中共宣传‘学习强国’是一种让公民证明自己对国家的忠诚度,以及研究习近平思想的一种方式。而推出该应用的人也对这些公民的忠诚度进行研究。”

北京的Wang Yuan,Liu Yang,Lyric Li以及旧金山的Greg Bensinger和Reed Albergotti对此报告做出了贡献。

原文链接:
https://www.washingtonpost.com/world/asia_pacific/chinese-app-on-xis-ideology-allows-data-access-to-100-million-users-phones-report-says/2019/10/11/2d53bbae-eb4d-11e9-bafb-da248f8d5734_story.html


from 品蔥 https://pincong.rocks/article/6553