- Global Voices 繁體中文 - https://zht.globalvoices.org -

香港(及各地)示威者都該更認識FireChat

類別: 公民媒體, GV Advocacy
Cartoon by Matt Bors for Storymaker.cc (CC BY-NC-SA 2.0). [1]

圖片:Matt Bors Storymaker.cc (CC BY-NC-SA 2.0)

感謝 Nathan Freitas [2] 及 Oiwan Lam [3] 對本文的貢獻

在9/29禮拜一,嗜用社群媒體人士以及西方媒體大量報導香港泛民主示威者使用FireChat的消息 [4]。雖然它們誇大了這個應用程式的流行現象,但了解真實情況的運動者和安全研究者認為,有必要讓大眾了解它的功能和極限。

首先,FireChat是個聊天室而不是僅做為通訊的應用程式,本身可做為平台發送不安全、公開的訊息給網路上或是鄰近的人。

一旦下載了FireChat,使用者必須以真實姓名登入(它會自動以使用者在iOS或Android手機上的姓名登入),同時也必須提供使用者名稱以及email。登入之後,使用者便得以加入線上聊天室、開闢新聊天室,或直接傳送訊息給周遭也連線上FireChat的人。這些訊息透過藍芽由手機傳播,因此當謠傳香港當局打算關閉行動網絡時,FireChat因為不一定需要網路連線,而被視為是不受此舉影響的聊天方式。

許多人對FireChat的功能、隱私和安全問題有錯誤認知,以下我們就一一解釋:

FireChat並不安全,它不是為了保護使用者的隱私或訊息的安全與機密而設計的。

FireChat沒有使用者認證系統。如果訊息是透過某個名人(如某位示威組織者或記者)傳送,系統無法認證是否真為其人。攻擊者可以輕易地偽裝成特定名人散播不實訊息或連結,引誘他人透過點擊下載監控軟體。過去幾周便有在地運動者於不同場合遭遇類似的情形。

熟知FireChat的資訊安全專家建議運動者不要使用真實姓名,同時要避免用其傳送私密或敏感訊息。要記得示威者中有人透過FireChat滲透進行資訊收集,而這些資訊不僅儲存在使用者的手機上,也在未加密的網絡中散佈。關於FireChat的詳細分析,可以閱讀這個由多倫多大學公民實驗室公布的研究 [5](僅有英文版)。

使用藍芽有安全風險。不管使用FireChat與否,藍芽不僅讓手機更易招致攻擊,也會讓滲透者有機會列舉、確認示威者彼此連結的手機。事實上,近幾天已經出現不少報導 [6]指出香港示威者遭到監控軟體攻擊的事件。

雖然其中有些沒有根據,但有可靠報導 [7]指出已有大量訊息鎖定佔中以及香港學生罷課參與者,藉此引誘他們下載、安裝為了示威活動而設計的應用程式,事實上這些都是監控軟體,用以追蹤來電、竊取email和連絡人資料,列出並定位使用者的地理位置。

其中的一項攻擊是由WhatsApp大量散佈。示威者應該在接收到建議他們下載、安裝應用程式時保持警戒。尤其是他們先前沒有提出需求,卻收到下載與安裝的建議時,更要小心。

雖然報導目前只提及WhatsApp會散佈惡意軟體,但是類似的攻擊應該也會透過論壇、email、FireChat如法炮製。

BynY07jCYAES3L9

 

 

給示威者的建議

來自圖博行動學會(The Tibet Action Institute)的專家研發出CyberSuperHero這個擁有中、英文版本的安全軟體。他們認為示威者和數位行動者應該同時利用行動網路 [8]固定的網路連線 [9],他們也提供全球之聲以下的簡單方法。

1. 不要點擊透過簡訊、藍芽或群組聊天訊息發送的未知連結。
2. 如果不需要上網,把手機設定在飛航模式 ──手機仍然有拍照等的功能,但是不會被追蹤或收到垃圾訊息。
3. 一定要設定手機的PIN碼或密碼,因為在被拘留或手機被偷的時候,可以藉此保護和朋友、群組、人際網絡相關的資料。
香港人要意識到使用通訊和出版應用程式潛藏的危機,並且要對潛在的攻擊保持警覺,這點非常重要。在示威者行動增溫、而香港政府面臨國際壓力必須減少警力干預運動的此刻,電腦和行動載具的攻擊可能會越來越多。

 

 

譯者:kumila