據(jù)國外媒體報道，加拿大廣播公司（CBC）獲得的絕密文件顯示，加拿大與其間諜合作伙伴利用目前最流行的手機瀏覽器之一的弱點，計劃通過谷歌和三星應(yīng)用商店的鏈接入侵智能手機。

電子情報機構(gòu)在2011年末開始瞄準UC瀏覽器，這是在用戶發(fā)現(xiàn)該瀏覽器泄露約5億用戶詳細信息之后。UC瀏覽器在中國和印度大規(guī)模流行的應(yīng)用，其在北美的使用也不斷增長。

他們?nèi)肭諹C瀏覽器和尋找更大的應(yīng)用商店漏洞，目的在于收集嫌疑恐怖分子和其他情報目標的數(shù)據(jù)——另外，在某些情況下，向目標智能手機植入間諜軟件。

2012年的文件顯示，監(jiān)測機構(gòu)利用某些移動應(yīng)用程序的弱點謀取其國家安全利益，但他們似乎并沒有向企業(yè)或公眾提醒這些弱點。這有可能讓數(shù)以百萬計的用戶處于數(shù)據(jù)被其他政府機構(gòu)、黑客和犯罪分子竊取的危險之中。

“所有這一切都打著提供安全保障的旗號，但……加拿大民眾或世界各地的人們實際上被置于危險的境地。”加拿大第一互聯(lián)網(wǎng)法律專家、渥太華大學的邁克爾·蓋斯特（Michael Geist）說道。

CBC新聞分析稱，該絕密文件與美國一家新聞網(wǎng)站有著密切聯(lián)系。該網(wǎng)站專門報道愛德華·斯諾登（Edward Snowden）披露的部分機密文件。

根據(jù)從斯諾登獲得的文件，所謂五眼情報聯(lián)盟——成員包括加拿大、美國、英國，澳大利亞和新西蘭的間諜小組，專門發(fā)掘各種途徑尋找和劫持連接到由谷歌和三星應(yīng)用商店服務(wù)器的數(shù)據(jù)鏈接。

2011年年底和2012年年初在加拿大和澳大利亞舉辦的多次研討會過程中，一個五眼的聯(lián)合情報技術(shù)團隊試圖通過攔截下載或更新應(yīng)用時的傳輸信號向智能手機植入間諜軟件。

竊取大量數(shù)據(jù)

無論用戶何時在谷歌和三星商店下載或更新應(yīng)用，五眼聯(lián)盟都能瞄準智能手機接受提示的服務(wù)器。

三星和谷歌未作評論。

該服務(wù)器提供了獲取全球數(shù)百萬智能手機海量流動數(shù)據(jù)的關(guān)鍵接入點。

蓋斯特說：“他們在尋找的東西顯然有共同點，即數(shù)以千計、數(shù)以百萬計的互聯(lián)網(wǎng)用戶都積極參與的領(lǐng)域。因為他們知道如果他們能找到方法來利用這些服務(wù)器，就將可得到大量網(wǎng)絡(luò)使用數(shù)據(jù)，也許是利用那星星點點的數(shù)據(jù)建立相關(guān)性。”

根據(jù)該文件，最終，間諜機構(gòu)想要向特定的智能手機植入間諜軟件，從而控制一個人的設(shè)備或從中提取數(shù)據(jù)。

該間諜機構(gòu)旨在匹配這些目標智能手機設(shè)備的在線活動，利用電子郵件數(shù)據(jù)庫、聊天記錄和瀏覽器歷史保存在五眼強大的XKeyScore工具中，來建立他們所追蹤個人的檔案文件。

建立這樣的匹配聯(lián)系是因為隨著智能手機使用越來越多，和他們從數(shù)據(jù)中獲得財富，這些機構(gòu)有著巨大的預(yù)期目標。

文件顯示，由于有著不暗中監(jiān)察對方公民的尊重協(xié)議，間諜團伙只關(guān)注非五眼國家的服務(wù)器。該機構(gòu)瞄準法國、瑞士、荷蘭、古巴、摩洛哥、巴哈馬和俄羅斯的移動應(yīng)用程序服務(wù)器。

加拿大電子監(jiān)控機構(gòu)通訊安全局（CSE），拒絕就其責任發(fā)表評論，稱這將違反信息安全法。

“CSE被授權(quán)收集國外情報訊號，以保護加拿大和加拿大民眾免受各種各樣的國家安全威脅，包括恐怖主義，”該機構(gòu)在一份書面聲明中表示，“CSE并不會在加拿大民眾或加拿大的任何地方的指導(dǎo)國外情報收集活動。”

英國政府通訊總部（GCHQ）表示，所有的工作“是在遵照嚴格的法律和政策框架進行的”。美國國家安全局和新西蘭監(jiān)督局沒有回應(yīng)CBC的新聞。澳大利亞的信號情報機構(gòu)拒絕對此發(fā)表評論。

百萬用戶并不知情

五眼聯(lián)盟尋找各種途徑進入移動應(yīng)用商店的服務(wù)器的同時，他們還發(fā)現(xiàn)了中國科技巨頭阿里巴巴集團旗下UC瀏覽器的安全漏洞。它是世界上最流行的移動瀏覽器，僅次于那些智能手機自帶的瀏覽器。

正如該情報團隊所發(fā)現(xiàn)的，UC瀏覽器泄露了其用戶的電話號碼、SIM卡號碼以及鏈接到中國服務(wù)器的設(shè)備的詳細信息。

在數(shù)據(jù)流中，五眼分析師發(fā)現(xiàn)了某國軍事部門使用應(yīng)用程序作為一種隱蔽的方式來溝通它在西方國家的運作。

文件寫道：“他們吹捧信號情報為發(fā)動政變提供了一個“之前以為不存在而如今可能已經(jīng)出現(xiàn)的機會”。

多倫多人權(quán)和技術(shù)研究小組Citizen Lab表示，UC瀏覽器直到最近仍然在泄露數(shù)據(jù)，這使得百萬用戶的數(shù)據(jù)面臨著危險。

“當然，這個應(yīng)用的用戶不會知道這是怎么回事，”Citizen Lab主管羅恩·德伯特（Ron Deiber）說道。

“他們只是以為當他們打開一個瀏覽器，然后瀏覽器做它該做的事。但事實上，它在泄露其所有的信息。”

Citizen Lab分析了安卓版本的應(yīng)用，并發(fā)現(xiàn)了其英語和中文版本存在“重大安全和隱私問題”。

國際安全與隱私

安全應(yīng)用程序通常對智能手機與服務(wù)器的信號傳輸進行加密，例如下載或更新應(yīng)用來阻隔外界從中獲取用戶敏感信息。

然而，最近Citizen Lab發(fā)現(xiàn)泄露信息的安卓版UC瀏覽器并沒有這樣的保護程序。甚至某些信息泄露發(fā)生在應(yīng)用的關(guān)閉狀態(tài)中。

此外，該應(yīng)用通過加密技術(shù)傳達智能手機的定位信息，Citizen Lab稱現(xiàn)有的工具破解這種加密技術(shù)輕而易舉。

所有這些細節(jié)能讓一個政府機構(gòu)、黑客或犯罪份子得以追蹤一個人的行動，并找出他們的習慣、人物關(guān)系，甚至他們的興趣喜好。

Citizen Lab于四月中旬就此安全漏洞向阿里巴巴發(fā)出警報，讓阿里及時修補該問題。5月15日，CBC新聞臺與阿里聯(lián)系之后，該公司發(fā)布了一個瀏覽器更新版本，對Citizen Lab指認的問題進行了修理。

“我們嚴肅對待安全問題，并不遺余力地保護用戶，”阿里巴巴發(fā)布聲明表示，“我們并未找到證據(jù)顯示任何用戶的信息被竊取。”

一位阿里巴巴知情人士聲稱，間諜機構(gòu)從來沒有提及該公司的應(yīng)用程序存在漏洞，并強調(diào)該應(yīng)用的信息泄露并非蓄意。

Citizen Lab測試更新，發(fā)現(xiàn)該應(yīng)用的泄露信息比英文版更多的中文版本——仍然未對搜索關(guān)鍵字進行加密。

此事件起了人們對政府機構(gòu)，甚至是地下機構(gòu)，是否應(yīng)該負有告知民眾其已發(fā)現(xiàn)的設(shè)備、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)施安全漏洞的責任。

利用像UC瀏覽器這樣的應(yīng)用程序弱點，“從非常狹隘的國家安全觀念出發(fā)是有意義的，但它卻是以全球數(shù)億用戶的隱私和安全為代價的，”德貝特說：“無疑，安全機構(gòu)不披露信息，反而掩藏該漏洞。這本質(zhì)上是將其武器化。”

蓋斯特爭論說，可以期望聯(lián)邦政府會保護加拿大民眾。“我們是受困于間諜機構(gòu)的圖謀——而從某種意義上說，我們的政府——正積極尋找軟件的漏洞或缺陷。”“這感覺在許多方面，就是我覺得大多數(shù)人對政府的期望都像在消退。”

但并不是所有人都同意這個觀點。加拿大皇家軍事學院教授、研究員克里斯汀·勒普卓（Christian Leuprecht）提出：“事實上某些渠道和設(shè)備的弱點并不是情報的終極問題。”

他表示，如果加拿大民眾關(guān)心的加密標準和隱私問題，他們可以游說政府打擊網(wǎng)絡(luò)運營商、制造商和開發(fā)商。“因為我們的信息情報機構(gòu)同樣可以追蹤數(shù)據(jù)、設(shè)備和服務(wù)器。”