反思612之二:群組管理員身份泄露原因及自我保護措施


行筆之時,得知有義士作死諫,以自己的生命控訴此政府的橫蠻無理,告戒大家一定要堅守初衷,不要被林鄭的語言偽術所蒙閉。他的離去令人心痛欲絶,相信不論在天上還是人間,我們最終會到達抗爭路上的終點。請一起守護香港。

Telegram 網頁截圖

新聞報導:
立場新聞:逾萬成員交流抗爭資訊 Telegram「公海總谷」管理員 涉公眾妨擾被捕
紐約時報:Chinese Cyberattack Hits Telegram, App Used by Hong Kong Protesters

在612的前一天,警察上門拘捕Telegram群組「公海總谷」的管理員,並要求他把手機解鎖以取得群組成員名單。抗爭者急忙呼籲退出所有Telegram群組,以及使用「太空sim」(無月費sim)以保障私隱。警方究竟是如何得知管理員的真實身份?後來紐約時報報導他使用的是小米手機,很多人就覺得謎底已解開。但真的是這麼簡單嗎?我們又該如何防範?

關鍵是取得管理員的電話號碼

根據紐約時報報導,警方之所以得知管理員的真實身份,是因為警方透過某種手段獲得他的電話號碼,同時因為此號碼為上台月費計劃,所以警方可以要求手機台提供此號碼的地址(這亦是抗爭者呼籲使用「太空sim」的原因)。關鍵是究竟如何知道一個Telegram帳户的電話號碼?

Telegram網站截圖

根據Telegram網頁解說,只有當你電話簿內有對方帳號的電話號碼,Telegram才會顯示該帳户的電話號碼。連同考慮小米是否有後門,我認為有三種可能性:

一:以各種理由獲取管理員的電話號碼

最old school、但警方可能最拿手的方法,就是以各種理由哄騙管理員提供電話號碼。直接透過Telegram詢問電話號碼當然要提防,警方亦可能曾經在拘捕其他抗爭者時強行讀取了一堆電話簿名單,然後找一部手機在電話簿輸入此名單再加入Telegram群組,若然名單包含群組管理員,Telegram就會自動在管理員帳户訊息中顯示電話號碼。

二:透過第三方取得電話號碼

在Telegram用的網名亦要小心,若然在其他有登記電話號碼的網站或服務亦使用相同或相似網名,不排除警方可以透過第三方取得電話號碼。此方法在法理上的可行性有商榷之處,但若然警方以緊急需要或社會安寧為理由要求取得資料,亦難保網站或公司為了避免與警察糾纏,而選擇合作了事。

三:由小米取得管理員手機內的Telegram資料庫

Telegram網站截圖

Telegram雖然對訊息傳送進行加密保護,但是儲存在手機上的數據庫則有安全風險。根據一篇研究能否用Telegram作法庭證據的論文《Forensic Analysis of Telegram Messenger on Android Smartphones》(2017),如果能獲取手機中的Telegram數據庫,就可以透過破解此文檔來辨認出該手機的用户,以及知道此用户管理甚麼群組。假若小米真的有後門偷取用户的程式檔案,警方通過小米取得大量不同手機的Telegram數據庫並進行破解,理論上是可以找出該名管理員。但要破解大量數據庫需時頗長,而且去年尋找失蹤滑翔傘人士時警方連JSON也不懂解讀,所以我對警方有沒有能力執行此方法抱有疑問。

但我仍不鼓勵使用中國手機,因為始終有太多個人資料泄漏風險。而且就算是其他國家牌子的手機,如果銷售往內地市場的型號,亦應該避免使用,因為過去亦發現過手機廠家為了能在內地銷售而加入監控程式,向內地的不知名政府服務器發送訊息。

手機私隱保護措施

上面是我想到的可能性,如果有其他想法亦歡迎分享。如今無法確定警方使用的是那一種方法,可以繼續留意案件上庭時會否披露更多査案的過程。若然大家在抗爭時會走得比較前,或認為自己的被捕風險高,可以實行以下通訊保護措施:

  1. 使用另一部手機來收發抗爭相關訊息(而且不是內地牌子的手機)
  2. 使用太空sim(儲值卡)
  3. 不要在電話簿儲存其他抗爭者的電話(以免萬一被捕時泄露其他抗爭者身份)
  4. Telegram設置
    • 不分享電話號碼(Settings -> Privacy and Security -> Phone Number -> Nobody)
    • 不同步電話簿(Settings -> Privacy and Security -> Sync Contacts -> Off,然後 Delete Synced Contact)
  5. 不要在任何社交媒體分享自己的位置,以免留下記錄
  6. 手機設置不記錄位置
    • Android: Settings -> Security & Location -> Location -> Location History -> Off
    • iOS: Settings -> Privacy -> Location Services -> System Services -> Frequent Locations -> Off
  7. 檢查及删除過去位置記錄
    • Android: 到 maps.google.com/timeline
    • iOS: Settings -> Privacy -> Location Services -> System Services -> Frequent Locations -> Clear History
  8. 關閉其他程式之定位功能
    • Android: Settings -> Apps -> Apps Permission -> 關閉所有app的定位功能
    • iOS: Settings -> Privacy -> Location Services -> 將所有app設定為Never
  9. Telegram使用的帳戶名稱要與自己真實姓名或常用網名完全無關

如果有其他自我保護tips,也可以告訴我,我在此頁補充。

反送中系列文章:
「無辜」的林鄭及新生代的反撲
強制表態可以帶來甚麼?
運動的最大隱憂是仇恨
回應七月廿五日美西星島「總編輯時間」之論點
親政府陣營抹除理性證據的方法
廿二年的「和平」
不理解年輕人?不為也非不能也
中共支持者不肯面對的現實
Hong Kong 2019: the failure of Beijing’s pseudo-democracy experiment
香港:絕望之城
反思612之三:媒體染紅的威力
反思612之二:群組管理員身份泄露原因及自我保護措施
反思612之一:群眾運動的急速發展


回帶舊文:

雨傘運動系列文章:
雨傘之後 1 – 人不犯我,我不犯人?
雨傘運動有感 6 – 香港比大陸城市優勝的是……
雨傘運動有感 5 – 無言,感動
[曲] 向專業的香港警察致敬!
雨傘運動有感 4 – 人們眼中的法治
雨傘運動有感 3 – 佔領立法會及運動去向之迷思
雨傘運動有感 2 – 為何支持學生?
雨傘運動有感
你真的以為可以放棄民主而保住經濟嗎?
為何不「循序漸進」,先接受篩選式假普選?


發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

這個網站採用 Akismet 服務減少垃圾留言。進一步瞭解 Akismet 如何處理網站訪客的留言資料