斯诺登爆美用UC浏览器窃密 阿里:新版已修复
20日,美国“棱镜计划”揭露者斯诺登(Edward Snowden)再次“揭底”美国情报机构,据他公布的一份美国机密文件显示,美国国家安全局及其盟友正试图通过谷歌以及三星的应用商店,入侵用户手机并盗取数据。文件还披露,该组织曾找出UC浏览器(由阿里巴巴开发)的漏洞,并借此搜集亚洲特别是中国和印度地区的网络数据。
对此,阿里巴巴回应称对安全问题高度重视,UC浏览器已在第一时间提高信息安全加密级别,不再存在报道中提及的风险。阿里巴巴还介绍,目前应用商店上的UC浏览器最新版本,相关信息已经改为安全级别更高的HTTPS加密方式传输。
资料图
网易科技讯 5月22日消息,据国外媒体报道,加拿大广播公司(CBC)获得的绝密文件显示,加拿大与其间谍合作伙伴利用目前最流行的手机浏览器之一的弱点,计划通过谷歌和三星应用商店的链接入侵智能手机。
电子情报机构在2011年末开始瞄准UC浏览器,这是在用户发现该浏览器泄露约5亿用户详细信息之后。UC浏览器在中国和印度大规模流行的应用,其在北美的使用也不断增长。
他们入侵UC浏览器和寻找更大的应用商店漏洞,目的在于收集嫌疑恐怖分子和其他情报目标的数据——另外,在某些情况下,向目标智能手机植入间谍软件。
2012年的文件显示,监测机构利用某些移动应用程序的弱点谋取其国家安全利益,但他们似乎并没有向企业或公众提醒这些弱点。这有可能让数以百万计的用户处于数据被其他政府机构、黑客和犯罪分子窃取的危险之中。
“所有这一切都打着提供安全保障的旗号,但……加拿大民众或世界各地的人们实际上被置于危险的境地。”加拿大第一互联网法律专家、渥太华大学的迈克尔·盖斯特(Michael Geist)说道。
CBC新闻分析称,该绝密文件与美国一家新闻网站有着密切联系。该网站专门报道爱德华·斯诺登(Edward Snowden)披露的部分机密文件。
根据从斯诺登获得的文件,所谓五眼情报联盟——成员包括加拿大、美国、英国,澳大利亚和新西兰的间谍小组,专门发掘各种途径寻找和劫持连接到由谷歌和三星应用商店服务器的数据链接。
2011年年底和2012年年初在加拿大和澳大利亚举办的多次研讨会过程中,一个五眼的联合情报技术团队试图通过拦截下载或更新应用时的传输信号向智能手机植入间谍软件。
窃取大量数据
无论用户何时在谷歌和三星商店下载或更新应用,五眼联盟都能瞄准智能手机接受提示的服务器。
三星和谷歌未作评论。
该服务器提供了获取全球数百万智能手机海量流动数据的关键接入点。
盖斯特说:“他们在寻找的东西显然有共同点,即数以千计、数以百万计的互联网用户都积极参与的领域。因为他们知道如果他们能找到方法来利用这些服务器,就将可得到大量网络使用数据,也许是利用那星星点点的数据建立相关性。”
根据该文件,最终,间谍机构想要向特定的智能手机植入间谍软件,从而控制一个人的设备或从中提取数据。
该间谍机构旨在匹配这些目标智能手机设备的在线活动,利用电子邮件数据库、聊天记录和浏览器历史保存在五眼强大的XKeyScore工具中,来建立他们所追踪个人的档案文件。
建立这样的匹配联系是因为随着智能手机使用越来越多,和他们从数据中获得财富,这些机构有着巨大的预期目标。
文件显示,由于有着不暗中监察对方公民的尊重协议,间谍团伙只关注非五眼国家的服务器。该机构瞄准法国、瑞士、荷兰、古巴、摩洛哥、巴哈马和俄罗斯的移动应用程序服务器。
加拿大电子监控机构通讯安全局(CSE),拒绝就其责任发表评论,称这将违反信息安全法。
“CSE被授权收集国外情报讯号,以保护加拿大和加拿大民众免受各种各样的国家安全威胁,包括恐怖主义,”该机构在一份书面声明中表示,“CSE并不会在加拿大民众或加拿大的任何地方的指导国外情报收集活动。”
英国政府通讯总部(GCHQ)表示,所有的工作“是在遵照严格的法律和政策框架进行的”。美国国家安全局和新西兰监督局没有回应CBC的新闻。澳大利亚的信号情报机构拒绝对此发表评论。
外媒报道配图,写着“最高机密”的演示画面
百万用户并不知情
五眼联盟寻找各种途径进入移动应用商店的服务器的同时,他们还发现了中国科技巨头阿里巴巴集团旗下UC浏览器的安全漏洞。它是世界上最流行的移动浏览器,仅次于那些智能手机自带的浏览器。
正如该情报团队所发现的,UC浏览器泄露了其用户的电话号码、SIM卡号码以及链接到中国服务器的设备的详细信息。
在数据流中,五眼分析师发现了某国军事部门使用应用程序作为一种隐蔽的方式来沟通它在西方国家的运作。
文件写道:“他们吹捧信号情报为发动政变提供了一个“之前以为不存在而如今可能已经出现的机会”。
多伦多人权和技术研究小组Citizen Lab表示,UC浏览器直到最近仍然在泄露数据,这使得百万用户的数据面临着危险。
“当然,这个应用的用户不会知道这是怎么回事,”Citizen Lab主管罗恩·德伯特(Ron Deiber)说道。
“他们只是以为当他们打开一个浏览器,然后浏览器做它该做的事。但事实上,它在泄露其所有的信息。”
Citizen Lab分析了安卓版本的应用,并发现了其英语和中文版本存在“重大安全和隐私问题”。
国际安全与隐私
安全应用程序通常对智能手机与服务器的信号传输进行加密,例如下载或更新应用来阻隔外界从中获取用户敏感信息。
然而,最近Citizen Lab发现泄露信息的安卓版UC浏览器并没有这样的保护程序。甚至某些信息泄露发生在应用的关闭状态中。
此外,该应用通过加密技术传达智能手机的定位信息,Citizen Lab称现有的工具破解这种加密技术轻而易举。
所有这些细节能让一个政府机构、黑客或犯罪份子得以追踪一个人的行动,并找出他们的习惯、人物关系,甚至他们的兴趣喜好。
Citizen Lab于四月中旬就此安全漏洞向阿里巴巴发出警报,让阿里及时修补该问题。5月15日,CBC新闻台与阿里联系之后,该公司发布了一个浏览器更新版本,对Citizen Lab指认的问题进行了修理。
“我们严肃对待安全问题,并不遗余力地保护用户,”阿里巴巴发布声明表示,“我们并未找到证据显示任何用户的信息被窃取。”
一位阿里巴巴知情人士声称,间谍机构从来没有提及该公司的应用程序存在漏洞,并强调该应用的信息泄露并非蓄意。
Citizen Lab测试更新,发现该应用的泄露信息比英文版更多的中文版本——仍然未对搜索关键字进行加密。
此事件起了人们对政府机构,甚至是地下机构,是否应该负有告知民众其已发现的设备、操作系统、网络设施安全漏洞的责任。
利用像UC浏览器这样的应用程序弱点,“从非常狭隘的国家安全观念出发是有意义的,但它却是以全球数亿用户的隐私和安全为代价的,”德贝特说:“无疑,安全机构不披露信息,反而掩藏该漏洞。这本质上是将其武器化。”
盖斯特争论说,可以期望联邦政府会保护加拿大民众。“我们是受困于间谍机构的图谋——而从某种意义上说,我们的政府——正积极寻找软件的漏洞或缺陷。”“这感觉在许多方面,就是我觉得大多数人对政府的期望都像在消退。”
但并不是所有人都同意这个观点。加拿大皇家军事学院教授、研究员克里斯汀·勒普卓(Christian Leuprecht)提出:“事实上某些渠道和设备的弱点并不是情报的终极问题。”
他表示,如果加拿大民众关心的加密标准和隐私问题,他们可以游说政府打击网络运营商、制造商和开发商。“因为我们的信息情报机构同样可以追踪数据、设备和服务器。”(云旗)
外媒报道截图