The following is a Chinese translation of OTF’s April 9, 2018 blog post, “App Targeting Uyghur Population Censors Content, Lacks Basic Security.” Special thanks to translation contributors @j3meng and “peppa pig.”
《纽约时报》观点栏目最近一篇文章 如此开头:
想像一下,你的日常生活是这样的:上班或办事路上,每走 100 米就经过一个警察岗哨。街角和路灯柱上的摄像头可以识别你的面部并跟踪你的动作。在多个检查点,警务人员扫描你的身份证、你的虹膜和手机内容。在超市或银行,你再次接受扫描,你的包被 X 光透视,一个警官在你身上挥舞一支扫描棒——至少如果你生错族群,情况就会是这样的。主要族群的成员通常会被挥手放过。
你必须接受调查,内容包括你的种族、宗教习俗和“文化水平”;还有你是否拥有护照,是否有亲戚或熟人在国外,以及是否认识任何曾经被捕的人,或者被国家称为“特殊人群”者。
这些个人信息以及你的生物识别数据存储在绑定你的身份证号码的数据库中。这个系统把所有这一切总结为一个综合得分,把你评为“安全”、“正常”或者“不安全”。基于这些类别,你将被允许或不被允许参观博物馆、经过某些街区、去商场、入住酒店、租住公寓、申请工作或购买火车票。或者你可能被拘留,接受再教育,就像成千上万其他人一样。
科幻反乌托邦?不,如果你是维吾尔人,这就是如今中国西北部的生活。
这一大众监控社会的一个组成部分是一款手机应用。当地警察强制 居民安装一个名为“净网卫士”的软件。据报道 该应用可搜索“非法”图片,阻止安装其他应用程序以及将手机相关的详细信息发送到政府服务器。这一技术可轻易地推广至整个中国或其他专制环境。
对于中国大陆某个特定族群来说,该应用是一种压迫手段。OTF 红队实验室 与第三方研究人员合作,进一步检查该应用,此安全审计 之結果发现:
- 该应用从手机提取国际移动设备识别码(IMEI)、MAC 地址、生产商、型号、电话号码、国际移动用户识别码(IMSI)以及所有文件的文件名及其散列值(hash)
利用这些标识信息可轻松识别以及跟踪任何移动设备及其内容 - 该应用扫描设备外部存储的文件,记录文件的名称、路径、大小以及 MD5 散列值并将其与服务器发来的散列值列表进行对比,从而发现它视为“危险的”内容。
MD5 散列值是唯一的文件标识符,可识别移动设备上的任何文件 - 该应用针对的文件类型主要为音频、视频、图片和 html,并将所有文件名及相应的散列值发送至服务器,不仅是那些可能被视为危险的文件,而是用户设备上的每一个文件。
对于任何安装了该应用的用户,他们设备上保存的所有文件都将发送至不知名部门并受到监视 - 最后,个人设备至接收服务器的数据传输完全没有通过 HTTPS,一切都以 HTTP 明文发送,而且更新没有签名。
这表示,该应用收集所有数据并将其发送至接收端的未知部门,同时其传输方式使得某些具有普通技术背景的人可截取并篡改这些信息
强制安装这一手机应用可达到监视整个族群活动的目的,但该应用的广泛使用及其缺乏基本的安全,只会进一步对被迫使用该软件的用户造成伤害。用户被强制在自己手机上安装了什么?为了提供一个更透明的答案让用户理解他们的手机被强制安装了什么,我们向公众提供完整的技术报告,还公开了一份包含所有 MD5 散列值的列表(见文末附件),希望公众能够对所谓“危险”内容作出自己的判断。OTF 红队实验室 将在适当的时候继续对政府强制安装的软件进行监督,并对专业审计提供支持。
相关报道可参阅:Motherboard 和 BuzzFeed 和 RFA。
附件: