中國iPhone監察維吾爾族始於2017

中國政府早年曾被爆出以 iPhone 監察維吾爾族穆斯林,近日一份報告指出事件始於 2017 年,奇虎 360 創辦人以及行政總裁周鴻禕公開批評前往海外參與黑客競賽的中國公民,之後便發展至上述情況。

 

近日外媒《MIT Technology Review》一份報告指出,中國政府早年被爆出以 iPhone 監察維吾爾族穆斯林事件始於 2017 年,奇虎 360 創辦人以及行政總裁周鴻禕公開批評前往海外參與黑客競賽的中國公民開始。周鴻禕在接受採訪時表示在黑客比賽中表現出色僅代表「想像中的」成功,一旦表現出現漏洞,將不再被重視。他直言黑客及其知識應該「留在中國」,以便其他人能夠認識到軟件漏洞的真正重要性和「戰略價值」。

 

之後中國政府隨即禁止中國公民參與海外黑客競賽,反而在國內創建自己的比賽。後來一位研究員發現了 iPhone 操作系統的核心存在缺陷,從而獲得了冠軍。而中國政府已將其用於入侵屬於維吾爾族穆斯林的 iPhone。而 Apple 於兩個月後才對其進行修復,但中國情報部門早已利用漏洞作為對付少數族裔的武器。

 

--------------------------------

https://technews.tw/2021/05/07/how-china-turned-a-prize-winning-iphone-hack-against-the-uyghurs/

首先從全球白帽駭客盛事「Pwn2Own」講起,這個賽事主要吸引各國菁英駭客參加,旨在找出以前從未發現的軟體漏洞,將詳細資訊交給相關公司,讓他們有時間修復,駭客就能拿到一筆獎金。中國駭客一直是「Pwn2Own」菁英之一,長期贏得數百萬美元獎金,但到 2017 年,一切都停止了。

因中國網路安全服務公司「奇虎 360」創辦人周鴻禕公開批評參加者,認為駭客跟這些知識應該留在中國,才能了解軟體漏洞的重要性和「戰略價值」,這個論點也被中國當局採納。過不久,中國禁止網路安全研究人員參加海外駭客競賽,取而代之的是,中國本土網路安全競賽「天府杯」推出,獎品總計超過 100 萬美元。

首屆「天府杯」於 2018 年 11 月舉行,最大獎由奇虎 360 旗下的研究人員趙奇勳奪得,他發表一系列漏洞利用的方法,使他能輕鬆控制最新型 iPhone。

趙奇勳發現,可從 Safari 瀏覽器為突破點,由於 iPhone 操作系統的內核有缺陷,只要訪問藏有他編寫過的惡意代碼的網頁,遠距駭客就能接管任何 iPhone;他也將漏洞利用程式稱為「混亂」(Chaos),這能使犯罪分子或政府監視大量的人民。

2019 年 1 月,也就是天府杯賽事結束 2 個月後,蘋果發布修補該漏洞的更新程式。但在同年 8 月,Google 發布一份針對駭客活動的詳盡分析,指出有心人士正在大規模利用 iPhone 監視他人,研究人員偵測到 5 個獨特的漏洞開發鏈,包括趙奇勳當初贏得天府杯的漏洞利用程式。

Google 研究人員說這些攻擊與「混亂」有些相似,卻忘記提及受害者是維吾爾族、駭客是中國政府的事實。

中國藉 iPhone 安全漏洞攻擊維吾爾族

中國政府對維吾爾族的駭客攻擊相當激進,還遍布全球,範圍包括記者、不同意見者,以及任何令當局懷疑忠心程度的人。Google 發出駭客報告後,媒體也開始報導,中國駭客藉由 iPhone 安全漏洞攻擊維吾爾族,跟中國政府也有合作關係。之後,蘋果證實遇駭時間長達 2 個月以上,也就是從趙奇勳獲得天府杯首獎後,到蘋果發布修復方案為止。

根據《麻省理工科技評論》(MIT Technology Review)報導,是美國監視單位發現收集駭客攻擊維吾爾人的漏洞詳細訊息,再通知蘋果,不過蘋果和 Google 都拒絕對此事發表評論。

美國政府認為,中國同意奇虎 360 提出的「戰略價值」計畫,當時蘋果漏洞已迅速轉交給中國情報部門,並利用監視維吾爾族。針對此事,奇虎 360 和天府杯沒有回應,趙奇勳則堅決否認參與。

美國資安專家 Adam Segal 表示,中國不允許駭客出國參加比賽,似乎是希望漏洞消息留在中國內部,同時從收入來源控制中國的頂尖駭客,使他們必須跟國家合作。

天府跟中國軍方恐有掛勾

令人擔心的是,天府杯至今邁入第三年,贊助商包括中國科技巨頭阿里巴巴、百度、奇虎 360 等大公司,讓美國政府擔心這些賽事跟中國軍方有掛勾。

奇虎 360 市值超過 90 億美元,由於美國商務部評估涉及中國政府軍事採購業務,列入出口管制黑名單之一。據悉,協助組織天府杯的北京公司天融信 Topsec,為政府提供駭客培訓、服務和招聘,還會僱用民族主義駭客;另外也跟 2015 年醫療保險公司 Anthem 遭中國駭客入侵事件有關。

天府杯其他贊助商跟組織,像綠盟科技 NSFocus、Venus Tech 也都跟駭客攻擊活動脫離不了關係。另一個值得留意的公司是中國電子科技集團,其中一個子公司為海康威視,負責提供「維吾爾語分析」和「臉部辨識工具」,2019 年也列入美國貿易黑名單。

天府杯、監視維吾爾族和種族滅絕等的連結證明,早點發現「bug」可能是一種有力的武器。像今年初,中國駭客利用 Exchange 伺服器漏洞,成功入侵上萬企業與政府單位,所幸台灣漏洞防護公司 DEVCORE 及早發現,將問題傳給微軟,才能讓微軟比原定計劃提前兩週趕出修復程式。



没有评论: