文/林冠廷 (OCF Lab)
沒到過中國、沒做過虧心事,就能保證絕對的隱私與安全嗎?在我們滑著 iphone 與 ipad 時,中國的魔爪可能已悄悄深入你我的螢幕內窺探,一舉一動都逃不過老大哥的雙眼,甚至有可能遭受駭客攻擊。
美國電視頻道喜劇中心(Comedy Central)動畫系列《南方四賤客》甫推出劇集〈中國樂團〉(Band in China,英文音似「在中國被禁止」),嘲諷中國挾自身優勢監控境外言論,要求所有人都要迎合「中國價值」的作為。
在劇中,主角獲邀替電影寫劇本,不料製作商為了迎合中國審查,派了中國官員在主角身旁,逐字要求主角修改。在真實世界,雖然中國表面上沒有動畫那樣誇張,但實際審查和監控方法恐怕更加多元難防。
有一些漏洞,駭客比蘋果早發現
日前 Google 的「零日計畫」(Project Zero)發表一篇報告,指出蘋果手機、平板所使用的作業系統 iOS,出現了一系列已知,卻沒有解決辦法的「零日漏洞」(zero-day vulnerability),導致特定使用者暴露在巨大危險之中。
防毒軟體公司諾頓(Norton)在他們的網站中解釋,「零日漏洞」中的「零日」,代表著開發者發現或修補自己軟體存在破綻之前,惡意的駭客就已找到漏洞,並進而用來攻擊無辜用戶。因此,開發者解決問題的時限幾乎連一天都沒有。
專門研究這些零日漏洞的 Google「零日計畫」小組,在這系列報告中說明駭客攻擊iOS 這一系列漏洞的方法,是先感染幾個不同網站,只要受害者的機器有這些零日漏洞,打開網站時,網站就會於手機中安裝惡意軟體。
利用零日漏洞,中國「無國界」侵害人權運動者
Google 並沒有明確說出攻擊目標,但美國「電子前哨基金會」(Electronic Frontier Foundation,簡稱為 EFF)指出,第一波受害對象是境外的維吾爾人。在中國,維吾爾人主要居住於新疆地區,因為伊斯蘭信仰遭到政治迫害。
在中國內外有許多維吾爾人,紛紛挺身對抗中國政府騷擾,而後遭到逮捕。因此,這波針對境外維吾爾人的攻擊,很可能就是為了獲取他們的敏感資料,讓中國可以預先準備,知道誰會成為新的維吾爾運動領袖。
不只維吾爾人,很快地,圖博(Tibet,即中國稱之西藏)的流亡政府官員、圖博運動者,也遭到類似攻擊。他們在通訊軟體 WhatsApp 中收到幾個看起來無害,來自國際特赦組織(Amnesty International)或《紐約時報》的訊息,並附上短網址連結,連到被污染的網站。
這波很可能由中國政府發動的攻擊中,駭客利用零日漏洞,試圖奪取手機最高的控制權,收集各種資料、所在位置、聯絡人、通話紀錄、文字訊息等,甚至可以開啟相機與麥克風。所幸,多數圖博人在遭到攻擊前,已經安裝了更新版的 iOS 軟體,並沒有嚴重災情。
攻擊對象從個人到集體,駭客調整攻擊戰略
雖然不是每個目標都按照計劃受害,但是 Google 零日漏洞小組成員伊恩.比爾(Ian Beer)指出,這次的攻擊顯示了駭客的新模式:「只要出生在特定區域,或是身為特定族群,就可能會成為目標,各種安全保護措施永遠都無法消除這種針對性攻擊的風險。」
因為政府單位不想要打草驚蛇,通常只會謹慎地攻擊特定幾名運動者,導致以往針對單一運動人士的零日漏洞攻擊可能要花上百萬美金。但是伊恩.比爾警告,攻擊單一運動者的零日漏洞,成本多貴已經不再重要,因為接下來零日漏洞的攻擊是針對一整群人。
電子前哨基金會的庫柏・昆丁(Cooper Quintin)表示,Google 的報告顛覆了「零日經濟的傳統邏輯」,因為現在政府不再只打擊一兩個人,而是成千上萬同一族群的受害者,讓每次攻擊的成本降到最低。
身在臺灣,我們是否已經是中國「零日漏洞」攻擊目標?
中國迫害各個族群早就不是新聞,如果維吾爾、圖博人都受害,掌握自身自主權的臺灣要成為攻擊目標更不令人意外。臺北大學犯罪學研究所助理教授沈伯洋不斷警告,臺灣與中國已經進入「資訊戰」的準戰爭狀態。雖然不是傳統定義中的「戰爭」,但我們仍然不可掉以輕心。
無論在臺灣或全世界,許多遊戲背後都有中國資本。無論是《魔獸世界》背後的動視暴雪(Activision Blizzard)、《英雄聯盟》的 Riot Games、《傳說對決》的Garena,均有中國投資。打開蘋果臺灣區 App Store 的遊戲排行榜,免費遊戲前五名中,常常至少有三到四個遊戲由中國開發。如果這些遊戲公司意圖不良,只要在遊戲公布欄放上受感染的網址,用贈品鼓勵玩家進入瀏覽,後果將不堪設想。
終極解決方案:開放原始碼軟體?
雖然蘋果、Google 等公司往往宣稱自己的軟體商店審核嚴格,但漏洞、惡意軟體仍然時有所聞,而如果惡意開發者真的要用前述的攻擊方法,安全危機將防不勝防。
目前熱門手機、電腦作業系統最大的問題在於,這些系統不少都是「封閉原始碼」的商業軟體。意思是使用者就算是電腦高手,也無法看到這些系統背後的原始碼;就算能看到並找出漏洞,也無法在合法的情況下修改這些軟體。蘋果向科技媒體 TechCrunch 表示:「我們客戶的資料安全是蘋果首要任務。」不過基於「封閉原始碼」的邏輯,蘋果的零日漏洞只有當蘋果找出來且願意處理時,才能修補。此外,蘋果等矽谷企業與「雲上貴州」、騰訊合作的新聞,也讓這些系統的資訊安全蒙上一層陰影。
也因此,Linux 等開放原始碼的自由軟體再次受到注目。因為這些軟體的原始程式碼開放給所有開發者檢視、修改,代表只要一發現漏洞,就能立刻修復。如果使用的人數愈多,就代表漏洞愈快能被發現。雖然開放原始碼軟體相對安全且不受商業公司把持,不過,再安全的軟體永遠都有被破解的可能,面對不同來源的威脅,要提升的是對資訊安全的重視。
以身在臺灣的民眾來說,其實是處在世界少見的完善網路自由環境當中,因此提到監控或審查,一般人覺得很遙遠,或是認為沒做壞事,就算手機有漏洞或數位軌跡外洩也沒影響,而常常忽略應該注意的隱私問題,然而數位資料一但被掌握,便可以快速傳播和重複利用,而且無法銷毀所有紀錄拿回自主權,加上越來越多惡意的攻擊方式、跨國界的審查手段,絕對不能再輕忽對於各類威脅的警覺心,包括留心奇怪的連結、擁有不良紀錄的中資軟體,選用開放原始碼軟體和加密通訊,即時更新軟體系統都是增進資安的方法,因為很難知道,哪天在聊天群組無心的發言,會不會被收集,甚至被視為對強權的侵害而讓自身暴露危險當中。
參考資料:
- Watering Holes and Million Dollar Dissidents: the Changing Economics of Digital Surveillance
- Tibetans hit by the same mobile malware targeting Uyghurs
- Zero-day vulnerability: What it is, and how it works
- A very deep dive into iOS Exploit chains found in the wild
本文章授權條款為以下:
文章發佈 48 小時內,採創用 CC BY-NC-ND (姓名標示-非商業性-禁止改作) 3.0 台灣。
文章發佈 48 小時後,採創用 CC BY (姓名標示) 3.0 台灣。
※本文章為 OCF Lab 與《天下》雜誌合作的專欄:駭!公民,同步刊載於《天下》雜誌網站,標題和前言與《天下》刊出版本略有不同。
OCF Lab 開放實驗室 