Studying “Study the Great Nation”
www.opentech.fund

译自 https://www.opentech.fund/news/studying-study-the-great-nation/

介绍

“学习强国”是中国共产党拿来作为教育工具的应用程序,它在今年*(2019年-译者注)*上半年成了应用商店中下载量最大的中国应用,中国政府声称其已拥有1亿多用户。“学习强国”的主要功能包括:查看新闻,阅读文章以及进行测验,测验分数会显示在排行榜上,供用户本人和同事查看。

近年来,中共利用数字媒体技术在社会的各个方面增强其意识形态存在,而该应用是具体表现之一。利用该应用,他们强迫其基层党员和其他普通公民学习中共教条和习近平思想。2019年4月,纽约时报的相关报道指出:该应用实际上跟踪并“占有用户的数据”,但该报道“不清楚政府对“学习强国”用户的追踪程度”。此外,中国政府近来声称,将利用“学习强国”作为学习和考试的平台,来考核新闻工作者,通过者才能更新其新闻证。此外,路透社等媒体透露,中国科技巨头阿里巴巴是中共在这一项目上的最大合作伙伴,他们和中宣部共同开发了“学习强国”应用程序。

<details> <summary>展开全文</summary>

审核及结果

考虑到以上情况,开源技术基金( OTF )的红队实验室(RedTeamLab)与“ Cure53”一同深入该应用的源代码,寻出该应用的确切功能。

在深入过程中,“ Cure53 ”发现该应用程序的开发人员采用了反逆向技术[1],隐藏该应用的源代码,限制外来审核者对该应用程序进行全面分析。不过好在我们仍收集到了足够的证据来编定安全审查报告。我们的审查重点落在了“安卓手机”*(即使用安卓操作系统的手机-译者注)*上,这是因为中国近 80% 的手机是“安卓手机”。

我们在2019年8月审查时发现“学习强国”存在以下可能有害于用户的问题:

  • 包含类后门代码,实质授予了软件用户手机的完全访问权限,并且无法得知该访问权限的具体使用情况;
  • 自动根据某个包含 960 种应用程序的清单扫描用户设备上的其他应用程序;
  • 故意在包含用户敏感数据的区域使用弱加密算法;
  • 每天收集发送包含大量用户数据和应用使用情况的日志。

1-超级用户特权( Super user Privileges )

该应用的访问权限很有问题,这是最为致命的一点。“ Cure53 ”发现“学习强国”包含类后门代码,该代码能够使程序以超级用户权限运行任何命令。所有程序包含有“后门”代码的都在有“ aliyun and alibaba ”值的程序命名空间( namespace )里,这表明相关程序包都由阿里巴巴创建维护。拥有超级用户特权将准许某人管理访问操作系统中的所有内容,并有能力修改操作系统。换句话说,超级用户特权的拥有者能对系统干任何事情,下载软件、修改文件和数据,甚至安装键盘监听程序[2],都包括在内。

如果成功部署,相关程序代码将变成后门。然而我们所使用调查方法不允许我们进一步观察可能存在的其他后门利用的方式,因此我们无法理解为何一个应用程序会试图通过获取超级权限在用户手机上运行命令。

2-扫描应用( Scanning Apps )

“学习强国”会根据一个包含960款应用的清单,主动扫描上运行的其他应用。这份清单包含各式各样的应用类型,包括且不限于 Tripadvisor 、 Airbnb 等旅行应用; WhatApp 、 KakaoTalk 、 FacebookMessenger 及 Skype 等聊天应用;百度地图、优步等导航应用;亚马逊 Kindle ;各种支付软件;甚至游戏《神庙逃亡》也包含其中。这看似微不足道,但却和“学习强国”的既定用途没有任何关系,这导致我们不得不猜测为何中共需要大量收集用户数据。

3-故意设置的弱加密( Weak Encryption by Design )

如同故意设置的一样,“学习强国”收集并发送海量个人用户数据的同时,该应用的安全性也因在涉及用户敏感隐私的区域使用弱加密算法变得更低,这些区域所存储的数据,包括且不限于用户的生物识别数据和通讯内容。Cure53 发现 DES[3]等不安全的加密算法在阿里巴巴提供的程序包中广泛运用,这表明,阿里巴巴正主动参与削弱“学习强国”应用的安全性,增加其存在的泄密风险。这类加密算法只用不到一周的时间就可被暴力破解,潜在的第三者将轻而易举地获取这些信息。正如 Cure53 所指出那样,“这可以为潜在的第三者提供机会,在集中式数据库[4]中随意收集、映现、分析用户的个人生物识别数据和私人通讯内容。”

4-详细的日志报告(DetailedLogReports)

Cure53 同样发现该应用也收集 IMEI 号码(每台设备独有)信息、连接信息、应用的使用会话信息、用户位置信息等常规信息。这些信息一经记录,就会上传到阿里巴巴的 xuexi.cn (该应用的域(domain))。日志文件每日都会产生,这很有可能表明该应用每天都在收集并发送此类信息。一些信息可能同样发送到腾讯的服务器,因为 qq.com 的域也在接收这些信息。这些详尽的应用日志报告也发送给了其他公司企业,但联系到其他已发现的情况,这已然不能令人感到意外。

结论

对于这个所谓的教育应用,或者说,学习游戏,“学习强国”拥有的实际功能远超其开发者——中宣部和阿里所说,并实际拥有其他应用所不可能拥有的访问权限。该应用除了大规模的用户隐私数据掠夺外,实际拥有的超级权限、能隐藏其主要功能的反逆向技术,在涉及用户敏感隐私信息的区域故意使用的弱加密算法,一切都提醒人们,其应当如何令人感到深忧以及需要何种程度的戒备。显而易见,当中共声称,“学习强国”是公民研究国家大正方针以及证明其忠诚度的工具时,这个应用的开发和维护者却反过来“研究”他们的公民。

  1. 反逆向技术,泛指阻止研究者通过对应用本体的逆向分析进而倒推出应用的功能原理的各种技术手段。 ↩︎

  2. 键盘监听(keylogger),是指在使用键盘者不知情的前提下以隐蔽方式记录其每次击键。有多种方式可以实现此目的,一般为通过木马程序实现。 ↩︎

  3. DES加密算法,于70年代早期出现的对称密钥加密块密码算法,由于其仅有的56位密钥过短,现已可以轻易破解。目前该算法的最快被暴力破解时间为22小时15分钟,这是2008年的记录。 ↩︎

  4. 集中式数据库,指在单一场所存储数据及维护的数据库。此种数据库一损俱损。 ↩︎