请对全民反诈 app 保持警惕
想看更多信息技术内容请关注黑客邦联。
近日,北京市公安局通过各种方式强迫北京普通市民安装他们的全民反诈 app ,并号称这款 app 可以有效预防电信诈骗,但如此一个声称的如此“实用”的 app 居然要通过强制摊派的形式推广?这不免让人大惑不解。
但如果我们联系到此前被强制推广并被某技术组织检测出存在大量侵犯用户隐私的后门的血洗墙国(“学习强国”) app ,就不难发现一些端倪。只是学习强国一般只向公务员等公职人员强推,但全民反诈则面向所有民众。如果它被推广开来,全中国的民众都将活在无死角的严密监视之下。
让我们看看全民反诈的真面目吧。
展开全文
全民反诈 app 对敏感隐私权限的贪婪
我们通过豌豆荚的官网搜索全民反诈 app ,有如下收获:全民反诈 app 运行至少需要17项敏感隐私:1.读取电话号码;2.访问大致位置信息(使用网络进行定位);3.重新设置外拨电话的路径;4.应用使用情况;5.录制音频;6.读取联系人;7.拨打电话;8.读取短信/彩信;9.显示在其他应用上面;10.修改或删除存储卡中的内容;11.访问确切位置信息(使用 GPS 和网络进行定位);12.接收短信;13.读取通话记录;14.相机;15.读取存储卡中的内容;16.读取通话状态和移动网络信息;17.修改系统设置。
豌豆荚上记载的该 app 的敏感隐私权限用途说明:1.允许应用访问设备上的电话号码;2.允许应用基于基站、 Wi-Fi 等网络源获取位置信息;3.允许应用在拨出电话时查看电话号码、拨打其他号码或中止通话;4.获取应用的使用情况;5.允许应用录制音频;6.允许应用读取、保存、分享电话及邮件联系人的相关数据;7.允许应用自动拨打电话;8.允许应用读取本机或 SIM 卡上存储的短信;9.显示弹框、全屏界面到其他应用上面;10.允许应用修改或删除存储卡上的照片、媒体内容和文件;11.允许应用基于GPS、基站、 Wi-Fi 等网络源获取位置信息。这可能会增加耗电量;12.允许应用接收或删除短信;13.允许应用读取、保存或分享来电和外拨电话数据;14.允许应用拍摄照片和视频;15.允许应用读取存储卡上的照片、媒体内容和文件;16.允许应用获取本机号码、通话状态以及拨打的号码;17.修改设置应用中的设置项。
我想任何读者即使只是知晓了全民反诈 app 所需的隐私权限及其可查到的说明,便已经明白这是赤裸裸的监控。甚至不需要任何技术分析,都能想象得到如果手机上安装这款 app 我们的日常生活将受到多大的监视。不但如此,还会在暗底里产生阻碍,例如允许应用自动拨打电话,这不仅将使我们的隐私毫无死角地暴露在推广者的眼皮底下,更能使我们手里的设备完全不由我们控制。这也仅仅只是一眼就能看出的,如果将其中的技术细节加以分析将有一个更可怕的结果。以下是技术分析:
“读取电话号码”+“重新设置外拨电话的路径”+“录制音频”+“拨打电话”允许该应用程序配合背后的运营者拦截并重定向手机参与的电话会话到受运营者控制的号码,以便对通话进行监听和录音。
“访问大致位置信息(使用网络进行定位)”+“访问确切位置信息(使用 GPS 和网络进行定位)”允许该应用程序配合背后的运营者随时定位手机。
“应用使用情况”+“显示在其他应用上面”允许该应用程序配合背后的运营者监视并控制用户对手机上其他应用程序的使用,以及进程间通信。利用这些权限,任何输入到应用程序、或应用程序展示给用户的数据它都可以一览无余。即使使用实现加密通信功能的程序也无法逃过它的监视,因为它能利用这些权限直接窥视加密前和解密后的明文数据。
“读取联系人”+“读取通话记录”允许该应用程序配合背后的运营者监视用户的社会联系。
“读取短信/彩信”+“接收短信”允许该应用程序直接拦截并监控手机参与的一切短信交互。
“拨打电话”+“录制音频”允许该应用程序配合背后的运营者在用户不知情的情况下让手机自动拨打电话到运营者控制的号码,并通过录音功能对用户实施窃听。
“相机”+“读取通话状态和移动网络信息”允许该应用程序配合背后的运营者在用户不知情的情况下打开相机对用户实施偷拍,并在有网络连接的情况下讲结果传回运营者。
“修改或删除存储卡中的内容”+“读取存储卡中的内容”允许该应用程序配合背后的运营者任意翻看、篡改、删除用户保存在手机中的数据。
“修改系统设置”允许该应用程序违反用户的意志将手机调整到最适宜自己工作的状态。
这已经充分说明了所谓的“全民反诈”实乃“反民全诈”——一个反人民的彻底骗局。
全民反诈 app 的使用本身的危险性
仅仅只是使用权限上都这么危险,那么,使用本身又是如何的呢?我们从注册说起。
和其他私有软件一样,该应用强制用户使用手机验码证注册,这一点本身就有巨大的风险——利用伪基站截获短信验证码并非难事。但这款“官方”应用毕竟不同凡响,用户注册该 app 帐号不仅仅需要填写手机验证码,还有真实的所在地,其可能的作用是便于运营者对用户实施更精确的跟踪。
在帐号注册好后,用户还需要继续进行实名认证,不进行实名认证, app 仍不能正常地执行发行者所规定的功能。其具体操作就是用户在 app 的用户设置页面下的一些设置里,提交其身份证号和姓名等信息,一旦姓名和身份证不相符便不能通过认证。
等实名认证通过后用户就可以正常“使用” app 了,但 app 的具体功能中也存在着大量的安全问题。例如,安全工具下的身份验真功能需要让对方也通过全民反诈 app 或危信小程序进行“人脸识别”,以此验证是否为本人(如果对方未通过全民反诈 app 进行实名注册,则也需要出卖自己的隐私进行实名注册);反诈检测功能需要“检测”用户手机上的所有软件,没有人知道它不会趁机搜集用户手机上的所安装的其他软件信息,并向这些软件植入后门;诈骗预警功能则需要用户给予 app 监视电话、短信、其他软件的权限,让其实时监测用户手机的相关功能。除此以外该 app 仍存在很多恶意功能,在此不一一列举。
这样一款将恶意赤裸裸地表露出来的 app ,实属罕见,该 app 对用户隐私的侵犯甚至都不能用盗取来形容——已然是劫掠。这颇有种《1984》里的“老大哥”一般的感觉:用暴力手段作为支撑,强制用户放弃自己的隐私权,将用户赤裸裸地一丝不挂地暴露在老大哥的眼皮底下。而且警方已不满足于直接强迫民众安装,他们还通过和学校合作,向民众的子女灌输安装他们的 app 的“好处”,不仅如此,学校里的老师也会以他们的子女作为胁迫对象强迫家长安装,在如今这个学校和家长的关系从合作变成奴役的背景下,这是很容易办到的。而公务人员那里更不必说,学习强国已经是前车之鉴了。
用户应该有所行动
我国人民长期斯德哥尔摩综合症式地屈服于隐私剥夺的屈辱之下,商家窃取隐私买卖已是公开的秘密,而官僚集团比商家还更喜欢民众的隐私,他们扒起民众隐私来得更直接更彻底。回想一下,我们在使用软件时是否更喜欢那种我们可以窥见一切细节(包括软件运行了多长时间,用了多少权限,运行日志可以随意查看,并且源代码公布且允许修改后再发布)的软件呢?答案是不言而喻的。而这种软件能被我们掌控的软件,被称为自由软件。如果把我们掌控自由软件的逻辑用在统治阶级和被统治阶级的关系那里,你会发现它们是相似的。但问题是,软件只是软件,是我们使用的工具,而人也是工具吗?答案显而易见,在阶级统治中,被统治阶级是为统治阶级创造财富的根本的源泉,的确是他们的“物”。为了更好地控制住被统治阶级,他们不惜花大力气大价钱来监控被统治阶级,在这个过程中他们也将被统治阶级的隐私权剥夺得一干而尽。
话又说回来。既然公安局宣扬“全民反诈 app 是人民用来反诈骗的好帮手”,那么就应该允许大家更深入地了解这个工具,看看它到底是怎么运作的。为此公安局以及全民反诈的软件开发者,就应该公开全民反诈 app 的源代码,让大家看看这软件到底是什么情况,并证明它真的是全民反诈而非反民全诈。毕竟我们在购物时,也必须验证商品的各种情况,比如买衣服也需要试穿并搞清面料,买米面也需要看看米面是否是合格的。如果商家不肯提供,那么我们就可以认为商家是在强卖。在使用软件时也是如此,我们需要搞清楚软件的实际情况,但软件以封装的形式(简单地安装好即可使用的就算)出现并不能让我们搞清它的真面目,我们至少需要阅读软件的源代码,并证明它确实是该软件的源代码。请全民反诈 app 的开发者立刻公开自己软件的源代码,否则你们不仅是在强卖,更是在搞反民全诈的勾当!
任何试图剥夺我们隐私权的人都是我们的敌人,无论他以什么面目出现,无论他是谁。我们不能为了一时苟安而出卖自己的隐私,放弃自己的隐私权,这样一步一步地退让最后只能害了我们自己,让我们自己失去自由和属于我们的一切。而现在是时候夺回我们的隐私权了。