新疆居民处于无时无处不在的监控下(路透社)
“人权观察”组织公布了中国警方所使用的、让当局收集到无数信息的一款移动应用程序(APP)。在接受德国之声采访时,信息技术专家海德里希(Mario Heiderich)表示,该应用程序的技术构造很简单。
德国之声:海德里希先生,一段时间以来,外界了解到,中国当局在维吾尔人生活的省份建立了非常严密的监控。他们利用人脸识别等技术,采集公民的各种信息。如今,人权组织“人权观察”获得了一款APP副本,该APP通常安装在警方手机上。您的Cure53公司对该APP背后的内容进行了分析,您是如何解决这个谜题的?
海德里希:我们从“人权观察”那里获得了所谓的APK文件,这是针对手机、平板电脑这样的移动客户端的安卓系统应用程序文件。当然,这个APK文件没有开放源代码,源码是经过了编译的。这意味着,要在手机上运行,该程序文件先被压缩、汇总,以生成二进制可执行档,生成后很难再拆分。
不过,有一些程序和工具可以进行“反编译”。这样就可以在很大程度上再次还原源代码--无法做到100%,但也是一大部分。通过所取得的结果,就可以更清楚地了解该应用程序的实际功能。
我们没费太多力气就对文件进行了反编译,实际上“人权观察”之前自己也已经做到了这一点。但最大的问题在于,APP上的文本都是中文的,无论是代码、应用编程接口还是输入掩码。因此我们无法百分之百推断出该程序的实际使用情况。
德国之声:您是否向中文母语者求助过?
海德里希:有,我们请教了两位母语人士,然后将所有语言文本翻译成了英文。在这个基础上,我们将反编译并经过翻译的文本生成一个新的APK文件,该文集可以在手机等设备上以二进制档的形式运行。这样一来,我们就能访问该应用程序的英文版本,对其更好地进行分析。“人权观察”在其截图以及网站文章中也将其很好地呈现了出来。
德国之声:可以把这款APP想象为一个终端程序:官员的手机上装有该APP,可以输入信息或在服务器进行检索。本质上,该APP是查看服务器的窗口,而服务器包含了国家所收集的有关其公民的所有数据。
海德里希:正是如此。我们并不觉得这个APP特别复杂,这是一个相对简单的APP。实质上,它只包括警察输入数据的表格、收集数据并发送给服务器。这其中并没有更多高科技。
有意思的地方在于,推断出收集了哪些数据。不是如何收集的,而是收集了什么信息,并且如何使用这些数据。对于服务器上发生了什么,我们当然只能推测,不过“人权观察”已经巧妙地得出了结论。
德国之声:这还涉及警察在调阅某人个人资料时收到的数据。这时警察也会受到那些意想不到的数据:例如个人爱好、用电量等。
海德里希:是的,看来主要目的是提供尽可能大的、可供使用的数据库。该APP的主要任务显然是拓展数据库。
德国之声:如果生活在这样的环境中--像该地区的维吾尔人一样,如果你没有智能手机,就已经会受到怀疑。显然,每个人口袋里的智能手机也是政权全面监控的核心组成部分。有没有什么可以保护自己的办法?
海德里希:对于这些地区的政治气候,我只能猜测。如何在技术上保护自己,我没法这样即兴提供答案。问题是,当你采取措施保护自己或者进行抵抗时,最易招致怀疑。
这个警方APP也会记录,人们是否在其智能手机上安装了某些特定应用,人们是从前门进还是从后门进。我相当确定,还会有针对可疑行为的更多(标记)。谁想通过加密保护自己或者采取其他躲避方式,会招致双重怀疑,然后肯定会面对其他压制行为。当然,这只是一种推测,我们在这里并无法证实。
德国之声:该APP是否还有任何数据接口,让警方可以从公民的手机上读取数据--例如通过蓝牙?
海德里希:这个APP上没有。理论上需要另一款应用程序来实现这个功能,据我所知目前还没有相关报道。不过这恐怕会成为现实。据我们所知,也有一些APP会被安装在受怀疑者的手机上,完成其他功能。但是,我们迄今还无法证实这些,只能提供猜测。但我能够想象,未来几周出现相关报道。
海德里希(Mario Heiderich)博士是工程师和信息技术专家。他成立Cure53公司,并担任该公司总裁。其公司专门从事渗透测试(以黑客思维尝试入侵公司的IT安全系统,以便识别安全漏洞)。