在阿拉伯聯合大公國所風行的通訊軟體「ToTok」被發現實際上是阿聯酋政府的監控工具,掌控用戶的一舉一動。
文|麥浩禮
阿聯酋總理穆罕穆德親王(Sheikh Mohammed bin Rashid Al Maktoum)。圖片|湯森路透
全球通訊軟體的普級性愈來愈高,各國面臨的資訊安全風險也加劇。《紐約時報》(The New York Times)報導,7月推出的通訊軟體「ToTok」,在阿拉伯聯合大公國(UAE)及周邊中東國家迅速走紅,但卻被發現實際上是阿聯酋政府的監控工具,藉此全面掌握用戶的一舉一動。
由於阿聯酋長期以來封鎖蘋果手機內建的FaceTime,以及社群媒體臉書(Facebook)、WhatsApp 等應用程式,不少阿聯酋用戶必須使用翻牆軟體才可對外聯絡。
圖片|來源
ToTok 推出後,阿聯酋的半官方媒體一直宣傳這款軟體,稱可以讓居住在阿聯酋的外籍人士打電話給遠方的家人。至今 ToTok 已被下載數百萬次,大多數為阿聯酋的用戶。
阿聯酋政府暗中讀取用戶圖文資訊
ToTok 與很多應用程式一樣,在安裝前均會要求提供位置訊息以提供準確天氣預報,也會抓取電話內聯絡人資訊,以建立聊天清單。當然亦會要求授權麥克風、相機等讀取權。不過《紐時》調查後指出,ToTok 實為阿聯政府的監控工具,用戶在使用這款 App 時,會在不知情的情況下被阿聯政府讀取所有圖文訊息。
圖片|來源
ToTok 會暗中紀錄用戶的語音等數據蒐集用戶的所有資料,並傳送到一間名叫 Breej Holding 的公司。
調查指出,該公司很可能隸屬於阿聯政府的網絡安全公司 DarkMatter,該公司 2015 年由杜拜警察局少將兒子創立,亦是阿聯電訊服務商 Axiom Telecom 的創辦人,有指 DarkMatter 聘用了美國前中央情報局、以色列國防軍科技部門人員,而 DarkMatter 則與數據蒐集公司 Pax AI 連結,Pax AI 總部併於阿聯政府阿布扎比通訊情報部門同一座大樓內。
通訊安全專家帕沃德爾(Patrick Wardle)分析 ToTok 分析這個程式後,指出 ToTok 原型程式是中國的美顏通訊程式 YeeCall,只是加上阿拉伯語及英文介面略再修改。
帕沃德爾指出,「比以往要找駭客入侵目標人士的做法不同,政府只需要讓人們自動下載程式,便能套取用戶資料、位置及對話等資料」。
紐約時報報導,中東通訊軟體 ToTok 實為阿聯政府監控工具。圖片|Apple app store
基於安全維護,Apple 與 Google 的安卓(Android)商店已下架程式禁止再讓人下載,但擁有程式的人不會被主動刪除。
ToTok 沒有直接回應事件,僅指由於「技術問題」而沒法下載,並表示「今天流傳有關 ToTok 的傳言,開發程式的目標是創建可靠、易於使用的通訊平台。ToTok 有高度安全標準以保護用戶數據同時符合本地和國際法律要求的私隱條款保護」。