文 | 林冠廷

香港送中條例雖然被特首林鄭月娥「判死刑」，但是在沒有公正單位調查警察暴力的狀況下，反對極權政府的運動餘波未停，甚至越演越烈，港人對國家監控的擔憂更全面浮上檯面，也讓人權第一線、抗爭前線的各種科技資安議題成為重要課題。

反送中運動初期時，《華盛頓郵報》發表了〈面具、現金與應用程式：香港的抗爭者如何尋覓方法智取監控國家〉，說明香港民眾在中國中央政府的陰影之下，盡可能隱匿自己的實體與數位足跡。

最顯而易見的，就是抗爭者為了不要被秋後算賬，在現場紛紛戴上面具，只要不被警察強行揭開，政府的臉部辨識技術再厲害都瞬間沒有用武之地。此外，香港人抗爭後不用電子票證八達通搭車，改以現金購買單程票。人民還奔相走告，提醒彼此中資開發的微信千萬用不得。但是，在保密的功夫上，香港人最後還是功虧一簣。

標榜安全的通訊軟體「Telegram」（電報之意），在香港的手機應用程式商店趨勢榜上竄升到最熱門的位置。不過根據《紐約時報》，由抗爭者組成「公海總谷」討論群組的管理員 Ivan Ip，很快就被香港警方以串謀公眾妨擾為名逮捕，使用的小米手機聊天記錄也被迫交出。這是否代表被認為可靠的通訊軟體 Telegram ，還是不足以真正保障通訊安全？

一山還有一山高

在開發 Telegram 之前，創辦人杜洛夫（Ду́ров）兄弟創立了俄國大型社交網站VKontakte，被政府盯上。之後杜洛夫兄弟決定以隱私為號召，推出完全免費的Telegram，並一舉成為伊朗、烏茲別克等政治高壓國家最多人使用的通訊軟體。盡管偶有質疑聲浪，但 Telegram 的安全性確實受到許多人肯定。

不過，跟其他通訊軟體一樣，Telegram 的伺服器再安全，訊息都還是有外洩風險。知名人工智慧研究者杜奕瑾就在臉書上指出，一般中國品牌手機都能在利用網路連線直接監控。所以被逮捕的香港社群管理員，可能是被自己的小米手機所害。

此外，輸入法追蹤也可能是罪魁禍 首。Google 日前才以惡意行為為理由，將中國開發的知名「觸寶」輸入法從 Android 的應用程式商店中移除。事實上，不管輸入法是手機原廠或第三方廠商所開發，技術上都可以側錄使用者輸入的資訊。

即使輸入法與手機都沒有盜取資訊，惡徒還有一招：簡訊攔截。2016 年伊朗就爆發大規模的災情，有 1500 萬名使用者的手機號碼外洩。追根究底，是駭客得到了閱讀某些用戶手機簡訊的權限，其中含有 Telegram 登入用的驗證密碼。有了驗證碼，就能掌握帳號與訊息，意即國家只要與電信公司共謀攔截簡訊，用戶連網路對話都很可能會暴露在危險之中。

保障來自於資安意識

調查媒體《The Intercept》推出了一系列調查報導，踢爆巴西的「超級司法部長」Sergio Moro 在法官任內，與主任檢察官 Deltan Dallagnol為了滿足執政黨的政治目的，共謀在國內的大型反貪污調查「洗車行動」中，摧毀在野的工人黨，試圖讓左翼勢力無法重回總統寶座。

這個醜聞撼動了巴西與國際輿論，原本高舉清廉的司法明星，被發現別有居心。而《The Intercept》的調查中，其中一項資料來源，正是這些政客的 Telegram 對話紀錄。巴西於 2015 年曾經短暫封鎖熱門的 WhatsApp，使得 Telegram 使用人口大增。危機意識相對較高的政客，其對話紀錄都能如此洩漏，一般民眾對於資安如果認識不多，則更防不勝防。

基本上，Telegram 雖然有加密設定，但是其加密設定需手動打開，且僅限於一對一訊息傳遞而非群組設定，加上 Telegram 的帳號是以電話來註冊，因此一旦外洩，可能自己最直接的電話通訊方法便流落他人手中。面對更種高明監控手法，國際各團隊也紛紛推出不同通訊軟體，包括高層級的加密軟體如 Signal、Wire，但社會運動和街頭抗爭講究時效性、溝通效率，所以港人習慣用的 Telegram 仍是溝通主力。 反送中的「公海總谷」Telegram 群組在管理員被逮捕後，重新成立了「公海總谷2.0」，成員紛紛棄用真名，讓群組中出現「林鄭月娥」與「習近萍」對話的場景，也增加威權政府追查的難度。

不論採用甚麼軟體、帳號命名法，都要認清，只要連上網際網路，就可能在某個環節暴露身分，面對善用監控手段的極權政府，更要時時提醒自己，沒有甚麼方案是一定安全，才能在行動上做最佳評估。

---

本文章授權條款為以下：
文章發佈 48 小時內，採創用 CC BY-NC-ND (姓名標示-非商業性-禁止改作) 3.0 台灣。
文章發佈 48 小時後，採創用 CC BY (姓名標示) 3.0 台灣。

※本文章為 OCF Lab 與《天下》雜誌合作的專欄：駭！公民，同步刊載於《天下》雜誌網站，標題和前言與《天下》刊出版本略有不同。