- Global Voices 简体中文 - https://zhs.globalvoices.org -

香港(及各地)示威者都该更认识FireChat

类别: 公民媒体, GV Advocacy
Cartoon by Matt Bors for Storymaker.cc (CC BY-NC-SA 2.0). [1]

图片:Matt Bors Storymaker.cc (CC BY-NC-SA 2.0)

感谢 Nathan Freitas [2] 及 Oiwan Lam [3] 对本文的贡献

在9/29礼拜一,嗜用社群媒体人士以及西方媒体大量报导香港泛民主示威者使用FireChat的消息 [4]。虽然它们夸大了这个应用程序的流行现象,但了解真实情况的运动者和安全研究者认为,有必要让大众了解它的功能和极限。

首先,FireChat是个聊天室而不是仅做为通讯的应用程序,本身可做为平台发送不安全、公开的讯息给网络上或是邻近的人。

一旦下载了FireChat,使用者必须以真实姓名登入(它会自动以使用者在iOS或Android手机上的姓名登入),同时也必须提供使用者名称以及email。登入之后,使用者便得以加入在线聊天室、开辟新聊天室,或直接传送讯息给周遭也联机上FireChat的人。这些讯息透过蓝芽由手机传播,因此当谣传香港当局打算关闭行动网络时,FireChat因为不一定需要网络联机,而被视为是不受此举影响的聊天方式。

许多人对FireChat的功能、隐私和安全问题有错误认知,以下我们就一一解释:

FireChat并不安全,它不是为了保护用户的隐私或讯息的安全与机密而设计的。

FireChat没有用户认证系统。如果讯息是透过某个名人(如某位示威组织者或记者)传送,系统无法认证是否真为其人。攻击者可以轻易地伪装成特定名人散播不实讯息或链接,引诱他人透过点击下载监控软件。过去几周便有在地运动者于不同场合遭遇类似的情形。

熟知FireChat的信息安全专家建议运动者不要使用真实姓名,同时要避免用其传送私密或敏感讯息。要记得示威者中有人透过FireChat渗透进行信息收集,而这些信息不仅储存在用户的手机上,也在未加密的网络中散布。关于FireChat的详细分析,可以阅读这个由多伦多大学公民实验室公布的研究 [5](仅有英文版)。

使用蓝芽有安全风险。不管使用FireChat与否,蓝芽不仅让手机更易招致攻击,也会让渗透者有机会列举、确认示威者彼此连结的手机。事实上,近几天已经出现不少报导 [6]指出香港示威者遭到监控软件攻击的事件。

虽然其中有些没有根据,但有可靠报导 [7]指出已有大量讯息锁定占中以及香港学生罢课参与者,藉此引诱他们下载、安装为了示威活动而设计的应用程序,事实上这些都是监控软件,用以追踪来电、窃取email和联系人数据,列出并定位用户的地理位置。

其中的一项攻击是由WhatsApp大量散布。示威者应该在接收到建议他们下载、安装应用程序时保持警戒。尤其是他们先前没有提出需求,却收到下载与安装的建议时,更要小心。

虽然报导目前只提及WhatsApp会散布恶意软件,但是类似的攻击应该也会透过论坛、email、FireChat如法炮制。

BynY07jCYAES3L9

 

 

给示威者的建议

来自图博行动学会(The Tibet Action Institute)的专家研发出CyberSuperHero这个拥有中、英文版本的安全软件。他们认为示威者和数字行动者应该同时利用行动网络 [8]固定的网络联机 [9],他们也提供全球之声以下的简单方法。

1. 不要点击透过简讯、蓝芽或群组聊天讯息发送的未知链接。
2. 如果不需要上网,把手机设定在飞航模式 ──手机仍然有拍照等的功能,但是不会被追踪或收到垃圾讯息。
3. 一定要设定手机的PIN码或密码,因为在被拘留或手机被偷的时候,可以藉此保护和朋友、群组、人际网络相关的资料。
香港人要意识到使用通讯和出版应用程序潜藏的危机,并且要对潜在的攻击保持警觉,这点非常重要。在示威者行动增温、而香港政府面临国际压力必须减少警力干预运动的此刻,计算机和行动载具的攻击可能会越来越多。

 

 

译者:kumila