(泡泡網報導) 在過去的幾天裡,香港有超過10萬個新用戶下載了FireChat移動短信應用程序。 FireChat在沒有手機信號和網絡的情況下仍然可使用,它的運行是基於用戶手機自己創建的一個網絡系統:每一部手機構建出一個節點,通過藍牙來傳送信息給其它的手機。不過“守護者計劃”(The Guardian Project)的隱私安全專家Nathan Freitas警告說,這款應用程序給示威者帶來了安全風險。
(更多香港佔領中環示威報導,點擊泡泡網民報告的“What's Up 香港”)
就在幾個星期之前,FireChat的開發者正在一個美國嬉皮士節日Burning Man上力推他們的這款應用軟件,當時其創意和技術人員正處於在內華達州的沙漠中。 FireChat就是為這樣的一個網絡信號接受差、但有大量通訊需求的地方而設計的,其初衷是幫助人們共享喝啤酒,聽音樂、和曬陽光浴的時間與地點。而香港示威人士正依賴這款應用軟件來聯繫彼此。
可連接,但“高度不安全”
Nathan Freitas表示,FireChat只提供給自由抗爭人士互相聯繫的可能,“但它並不是一款為高風險場合專門設計的軟件”。 Freitas說:“很多用戶還是擔心,他們在使用這款軟件之後會成為攻擊對象,或是手機通話被追踪。”
今年7月份,多倫多大學電子安全研究中心Citizen Lab發表報告,稱FireChat“對敏感內容的交流具有高度的不安全性”。此後FireChat也進行了安全方面的小調整,例如,增加了冒充其他用戶的難度,但大多數安全漏洞仍然存在。
當然,當你將手機帶到抗爭現場的時候,這部手機的供應商就已經能很輕易地追踪你的位置、攔截你的短信和通話內容了。移動運營商甚至可以直接發信息給示威者。今年年初在烏克蘭的示威活動中,每個示威者都接到了一個信息,警告他們已被官方登記在冊了。 Freitas也作為西藏自由學生運動的技術顧問,按照他的說法,對示威者進行手機監控和信號干擾在中國大陸確有發生。
通過卸下SIM卡和阻斷無線網絡,示威者能夠很大限度地削弱運營商追踪他們手機的能力,Freitas提示到。但很少有用戶會這麼做。 FireChat不僅可以在網絡可用的情況下利用網絡傳送信息,也可以僅僅依靠藍牙運行。 FireChat的公司Open Garden,也敦促香港的用戶在使用該應用程式時不要使用真實姓名,以減低風險。
FireChat洩漏數據
但是,即使用戶採取預防措施來保護他們免受運營商的追踪,通過其他方式的監控風險依然存在。 “FireChat洩漏大量的數據”Freitas指出,這些洩露的數據可以被用來確認用戶姓名、位置、和正在與誰交流等方面的信息。
Freitas 同時警告說,信息在從發送方傳送到接收方的過程中,也可被輕易截獲。 “其中沒有任加密程式需要破解”Freitas說。這意味著,技術含量很低的黑客,都可以輕鬆監控通訊方之間的交流。 “監控方可輕易地編寫程式來搗亂FireChat的通訊內容。或者可以沖擊聊天室、阻止個別用戶等等”手段來干擾FireChat通訊。
由於FireChat相對仍十分新,可能還較安全。 “一旦FireChat被盯上,其後果將十分惡劣》“Freitas說。就在今天(9月30日),推特上有用戶指出,中國已經在大陸封鎖了FireChat,這也說明FireChat已經被當局盯上。
這並非首次一個曾被使用者視為安全的平台突然被政府利用。在Tiwtter和Facebook等平台使用https加密之前,在阿拉伯之春期間,突尼斯等國家的活動者便使用這些平台來傳播信息。但當地政府很快就行動了,並記錄下這些在社交媒體上的社運活動。
儘管如此,Freitas認為FireChat目前正在扮演著一個很有價值的角色,因為它解除了移動運營商的控制,並提供一種即使在手機網絡被關閉或不堪重負的前提下,依舊能夠交流的渠道。 “至少人們還可以相互交流,這恰好是活動人士唯一關心的事情。否則,他們會通過短信或者微信交談,而這些反而會使他們陷入更糟糕的情形。”
FireChat的替代
“另一方面”,Fieitas強調更好的替代品是存在的:“Serval Mesh是最理想的:它很容易使用,並且保障安全。”但Serval Mesh還沒有IOS版本。
下面列舉了其他專門設計用於私密交流的應用程序。這些僅是冰山一角:更多保障安全的交流方式和上網途徑是存在的:例如Commotion和Tails ,但是這些應用程序對於用戶來說都不是很便捷。
“在理想的情況下,我設想需要額外安全保障的核心組織者和用戶,會使用Serval Mesh, ChatSecure 或Signal等,來進行重要的溝通。但是當街上成千上萬的人交流時,FireChat便發揮作用了。因為這些人只想知道'現在正在發生什麼'等信息。”
“未來將特別有趣,有這些新的程式供人們可以在這些情景下使用。”Freitas說,“這是一個非常積極的發展趨勢。我們不僅僅只是這些設備被動的消費者,同時也十分積極— —就像海盜電台一樣,具備強大的記憶內存和處理能力。
Serval Mesh
+ 对通讯内容和元数据(地理位置、联系人等)进行加密
+ 手机信号与互联网切断的时候,也能够使用
- 没有iOS版本
FireChat
- 容易被监控:通讯内容和元数据能轻易被获取和监控
+ 手机信号与互联网切断的时候,也能够使用
+ 安卓和iOS系统上均可使用
ChatSecure
+ 加密了通讯内容和元数据
- 只能在有互联网的时候才可使用
+ 安卓和iOS系统上均可使用
Redphone (android) /Signal (iOs)
+ 加密了通讯内容和元数据
- 只能在有手机信号时才可使用