脸书专页
翻墙交流电报群
RSS/FEED订阅
简体
正體
English
日語
한국어
Deutsch
Français
Русский
Español
Italiano公民实验室:几乎所有中文输入法都会泄露输入的内容
编者按:《CDT报告汇》栏目收录和中国言论自由及其他人权问题相关的报告资讯。这些报告的来源多种多样,包括机构调查、学术研究、媒体报道和网民汇集等等。也欢迎读者向我们推荐值得关注的报告。
中国数字时代本周推荐媒体:
一、中文输入法的安全漏洞泄露客户隐私
去年8月,中国数字时代曾报道过第一大中文输入法“搜狗”存在严重的安全漏洞。这将导致用户输入的内容会被泄漏,并且无论客户在哪,这些内容都会传送回位于中国大陆的服务器。
在23号,发布该报告的机构、多伦多大学公民实验室(The Citizen Lab)再次发布了一份类似的报告,指出除了“搜狗”外,大部分中文输入法也存在同样的问题。
报告封面
在最新的调查报告中,公民实验室调查了百度、荣耀、华为、讯飞、OPPO、三星、腾讯、VIVO和小米九家手机厂商和输入法软件公司,发现有八家提供的输入法存在严重漏洞,这些漏洞可以被用来监视用户输入的内容。其中,只有华为的产品没有发现任何安全问题。在测试中,该机构轻而易举的破解了多家厂商用来保护用户输入内容的加密法。甚至还有厂商干脆没有用任何加密手段保护用户内容。
报告估计,算上“搜狗”输入法,大概有10亿用户会受到影响而且他们认为这种影响已经在发生了。他们指出,这些用户输入的内容已经遭到了黑客的搜集。比如,五眼联盟的国家过去就曾利用中国应用程序中类似的漏洞实时监控行为。
之后,公民实验室向这些公司提交了相关的漏洞。8家厂商中的5家均做了回复,其中只有百度、VIVO和小米“已读不回”。百度甚至只修复了最严重的几个漏洞,其余的漏洞则视而不见。此外,手机制造商对于这些内置输入法的漏洞,都做了修复。然而,百度输入法却并未得到修复,其中荣耀手机完全没有修复百度输入法的任何漏洞。
最后,公民实验室提醒公众:搜狗、QQ、百度、讯飞输入法的用户,无论输入法是从应用商店安装还是手动安装在操作系统上,都应确保输入法及操作系统维持在最新版本。
注重隐私的用户应该终止任何输入法中的云端功能。
注重隐私的 iOS用户不要给予输入法“允许完整访问”的权限。
编者注:四月下旬以来,亲巴勒斯坦抗议活动席卷美国各大高校,多名抗议学生被警方逮捕。目前,抗议活动仍在继续并有越演越烈的趋势,现已成为美国社会和舆论的焦点。
美国历史学家米华健在26号发布一篇文章,通过解释发生在1989年的六四学运和天安门大屠杀,提醒美国大学的校长们抵制来自国会和政府压力,反对部署国民警卫队强制驱离学生。
1989年天安门广场学生抗议和2024年哥伦比亚大学学生抗议,图片来自米华健
中国数字时代摘录部分如下:
尽管有明显的区别,但1989年中国的春季学生运动与2024年美国的春季学生运动之间仍有发人深省的相似之处——尤其是在关于这两场运动的过度言论和反应方面。1989年和现在一样,学生们立刻提出了很多要求。在许多位高权重的人看来,他们显得急躁、不守规矩、不负责任、不切实际。
来源:CDT
作者: 中国数字时代
然而,他们提出的问题是沉重的,不容轻易否认。学生们的发言充满了道义上的自信,这种自信源于他们的青春,源于他们是学生这一事实:他们已经完成了我们对他们提出的一切要求,进入了美国最顶尖的大学。他们读了我们指定的书。他们所学到的知识使他们非常清楚地得出结论:坏事正在发生,而且这些坏事必须停止。但是,学生们始终无法获得施加影响的渠道;他们的组织被暂停活动;他们要求伸张正义的呼声被驳回、审查或宣布为不切实际或非法。因此,他们在广场、公共场所或操场扎营,他们的声音、呼喊和标语不容忽视。
在许多人看来,这些学生营地不仅造成了不便,还构成了对合法权威的挑战。虽然在这种情况下,学生们把他们的新露天社区管理得很好,但许多局外人并没有从他们身上看到民主、包容的未来的希望,没有看到犹太人、穆斯林和各种信仰的人一起祈祷和举行降生礼。相反,通过狭隘的眼光,这些批评者只看到了混乱。他们试图通过惯用的指责标签(黑手!外国敌对势力的工具!……)来诋毁、恐吓和驱散学生!外国敌对势力的工具!恐怖主义同情者!反犹主义者!)并没有奏效。停课或威胁开除学生也无法阻止他们–他们并不是你想象中的唯唯诺诺、唯命是从的傀儡,而是把原则看得比实用主义更重要,有些人甚至把自己的人身安全看得比什么都重要(家长们对此感到恐慌)。更糟糕的是,学生们的强烈抗议正在揭开权力结构本身的裂痕。教授们纷纷站出来支持自己的学生。行政部门和政党在如何处理这些孩子的问题上出现分歧,暴露出整个系统更深层次的裂痕。越来越多的派别鼓噪用暴力“恢复秩序”,利用学生达到自己的政治目的。
作者指出,面对同样的情况,1989年的 中共当局选择了暴力清场。他呼吁美国的大学校长们不要把邓小平当成榜样。他表示,“大学校长们,在外人的暴力煽动下,对抗可能是你们的第一冲动,但这样做不会有任何好处。妥协和一个委员会将比广场上的血腥屠杀更有利于每个人。”
同时,作者也提出了解决办法:组建一个委员会,其中包括由选举产生的学生代表、教职员工、校友和官员等等。同样,他特别强调,学生参加委员会并不是中国历史上的“招安”。他还引用六四学运做比喻,呼吁学生要有一个“退场机制”(divestiture),这样就可以避免不必要的暴力清场,并且可以转入委员会内进行斗争。
三、法学教授:TIKTOK法案大概率会通过对“言论自由”原则的宪法审查
在美国国会通过TIKTOK法案之后,外界普遍认为TIKTOK会利用“美国宪法第一修正案”(编者注:主要内容是保护美国人的言论自由)提出起诉,声称这一法案涉嫌违反“言论自由”。
22号,美国明尼苏达大学法学院副教授、美国司法部前法律顾问Alan Z. Rozenshtein,撰文以专业视角分析了为什么该法案通过的可能性很大,以及该案的关键论点论据又在哪里。
文章封面截图
该法案并非直接禁止 TikTok,但其捍卫者需要愿意为其辩护
教授表示,这一禁令给了TikTok一年的时间,允许它对外出售,因此并非直接禁止TikTok。然而,他也表示该法案也有可能被当成一种禁令。主要原因有两点:一,这样一家大型科技公司的出售程序极为复杂,一年时间可能不够;二,中国政府可能对字节跳动施加压力要求其不要剥离。因此,在允许其对外出售并给予宽限期这一点上,立法者要做好辩护。
他还指出,如果中国政府干预反对出售Tiktok,那么“正是这种中国政府对 TikTok运营的干预就是该法案的核心理由”。相反,“如果中国政府允许字节跳动出售,那么表明美国的担忧可能被夸大了。在这种情况下,TikTok并没有被禁止,因此也就不存在涉及宪法第一修正案的诉讼问题。”
该法律更好的理由是关于外国操纵,而不是数据隐私
美国政府能够为维护该法律提出的最有说服力的理由是什么?在这里,重要的是要区分法案支持者最常提出的两个理由:一、TikTok的外国所有权威胁到美国人的数据隐私;二、它使美国人受到外国对立国家的操纵。这两点都是事实,但只有后一点才足以成为禁止 TikTok的理由。
作者表示,“如果中国政府想要美国人的数据,他们不需要 TikTok就能得到。”他还以自己的经历举例子。他之前是美国司法部国家安全的律师,可以接触到许多机密信息。然而,在Tiktok诞生前,他和他同事的个人信息早就被中国情报机构获取了。他表示,中国“甚至根本都不用偷”。“美国是发达国家中数据保护做的最差的国家,因为美国缺乏国家数据隐私法。这意味着,中国可以从数据经纪商和其他第三方聚合商那里购买到与获取 TikTok用户数据相同的信息。”
相比之下,外国操纵的担忧,即中国政府可能控制美国的信息空间才是重要的论点,尤其是在中美冲突期。诚然,其他主要平台也曾是国家支持的虚假信息活动的载体,但 Facebook或谷歌正在积极打击秘密活动可能造成的破坏,与中国政府在其实际控制的平台上可能造成的破坏无法相提并论。因此,如果政府坚持本法所要解决的问题,即外国敌国家对美国大部分信息空间的控制,那么政府在第一修正案方面就会安全得多。
外国操纵的威胁并非是一种猜测
中国已多次生动地证明它拥有必要的手段和动机。作者表示,在这方面美国政府应该坐着论据的收集。
“中国政府对自身形象和外界对其看法的挑剔是出了名的,尤其是在涉及其地缘政治野心时。例如,2019年,当休斯顿火箭队总经理在推特上支持香港民主抗议时,中国政府取消了 NBA季前赛在中国的电视转播,而中国对 NBA来说是一个利润越来越丰厚、越来越重要的市场(类似事件的例子还有很多)。”作者还引用了美国国务院去年发布的一份报告。报告指出,中国”采用了各种欺骗和胁迫手段”,包括”宣传、造谣和审查”,以”影响国际信息环境”。因此,作者表示,“在迫不得已的情况下,没有理由认为中国人不会利用一切手段来获得对美国的战略优势,其中包括操纵数百万美国人获取信息的方式。”
综上所述,作者认为,“该法律很有可能通过宪法第一修正案的审查”。然而,他认为这并不是必然结果,案件仍然存在许多争议的地方。
来源:CDT
