编者按:《CDT报告汇》栏目收录和中国言论自由及其他人权问题相关的报告资讯。这些报告的来源多种多样,包括机构调查、学术研究、媒体报道和网民汇集等等。也欢迎读者向我们推荐值得关注的报告。
中国数字时代本周推荐媒体:
华语自由创作社区大声(大声- Dasheng):“我们致力于构建自由、有尊严的华语精神生活。由资深新闻工作者和专业人士组成的团队,凝集数百个跨越地域的创作者,通过新闻策展、采访编辑和深度访谈,以及一站式无审查的图书、影视和资讯共享社群,维护体面与美的华语文化圈层。要联结,也要大声。”
一、自由之家报告:中国网络自由度垫底且分数年年下滑
10月16日,非政府组织自由之家发布了2024年度全球网络自由报告,指出全球网络自由度已连续第14年下降,而中国则连续十年排名倒数第一。
北京一直在努力将中国的国内互联网与世界其他地区隔离,屏蔽了一些政府网站的国际流量,并对使用VPN的人处以巨额罚款。中国政府还继续系统性地压制异议,例如通过审查关于维权人士和记者孙林的网络讨论。孙林于2023年11月去世,此前他因在社交媒体上发布有关抗议中共领导人习近平的内容,疑似遭到警方殴打报复。
报告调查了72个国家,其中27个国家的网络自由状况恶化,有18个国家有所改善。此外,报告指出,三分之二的国家因非暴力的网络表达逮捕公民。许多国家对网络用户判以重刑,有的判刑甚至超过10年。此外,在至少43个国家中,公民因网络活动遭受身体攻击或被杀害,创下历史新高。这些现象反映了全球范围内因网络言论而遭受暴力报复的风险在不断上升。
报告指出,互联网审查、内容操控和数字媒体压制削弱了民众获取真实信息的能力,最终影响全球民主进程。其中,选举成为政府通过网络控制选民信息的重要手段。报告显示,在41个举办或准备举行全国性选举的国家中,有25个国家的选民面临的信息空间受到审查和限制。在一些国家,技术审查手段被用来限制反对派接触选民的能力、减少选民获取可靠报道的机会,或压制对选举舞弊的担忧。此外,至少21个国家的亲政府评论员通过操控网络信息,散布对选举结果的质疑,长期以来削弱了公众对民主制度的信任。
另一方面,也有一些国家为改善选举信息采取了积极措施,包括支持事实核查、提升公众的媒体素养以及出台限制生成式人工智能在选举中使用的规定。其中,南非、台湾和欧盟被认为是通过透明性和民主监督保护网络自由的典范。
自由之家指出,“互联网自由是现代民主的支柱”。因此,“恢复互联网自由的最有效方法也是恢复选举信息透明度的有力保障”。例如,“要求内容审核系统透明化,并向经过审查的研究人员提供平台数据的互联网监管措施,可以帮助选民更好地理解选举期间的影响操作。长期支持民间团体可以为它们提供必要的资源,与选举委员会合作,增强权威的投票信息传播,并保护言论自由。”
最后,报告指出,“最佳解决方案不仅限于技术,还包括重新投资于公民教育、现代化选举规则,并对从事反民主行为的权力人物进行问责。”
二、微软数字威胁报告:网络犯罪分子协助中俄针对美国
10月15日,微软发布了一份数字威胁报告,指出中国、俄罗斯和伊朗等专制国家与犯罪黑客的合作日益紧密。他们越来越多地依赖犯罪网络,执行针对美国等对手的网络间谍和黑客行动。
微软的报告分析了2023年7月至2024年6月间的网络威胁,研究了犯罪分子和外国势力如何通过黑客攻击、网络钓鱼、恶意软件等手段控制目标系统并获取信息。微软指出,其客户每天面临超过6亿次类似的攻击。
报告中提到:“俄罗斯、伊朗和中国利用当前地缘政治局势,在美国大选前针对敏感国内问题制造分裂,试图引导美国民众偏向某一政党或候选人,或削弱对选举作为民主基础的信任。正如我们所报告的,伊朗和俄罗斯的活动最为活跃,我们预计未来两周内,这类活动将进一步加速。”
相比之下,中国在总统竞选中基本保持低调,更多将虚假信息的目标放在国会、州或地方选举上。报告还发现,“与北京有关的网络(黑客)继续瞄准台湾及其他地区的国家。”
此外,俄罗斯、中国和伊朗的网络还针对美国选民,利用虚假网站和社交媒体账户传播关于2024年选举的虚假和误导性信息。微软的分析师同意美国情报官员的评估,认为俄罗斯的目标是副总统卡玛拉·哈里斯的竞选活动,而伊朗则在反对前总统唐纳德·特朗普。
最后,报告指出,网络犯罪分子和中俄伊的“官方黑客”正在尝试使用AI技术。“正如AI被广泛用于提升效率,威胁者也在学习如何利用AI的效率来攻击目标。”其中,中国黑客偏爱使用AI生成图像,而俄罗斯则通过各种媒介使用音频AI技术。
三、公民实验室:微信新修改的加密协议TLS存在漏洞
10月15日,加拿大多伦多大学公民实验室发布了一份关于微信网络加密协议的研究报告,揭示了微信在隐私和安全性方面的诸多漏洞。作为全球拥有十亿月活跃用户的通讯应用,微信的网络加密系统存在的安全问题引发了广泛关注。
报告指出:“微信使用的主要网络协议被称为MMTLS,它是基于TLS1.3协议的修改版本。尽管TLS1.3在网络安全领域被广泛应用并经过长期验证,但微信开发者对其进行了自定义修改,导致其加密机制引入了若干安全漏洞。”
例如,报告指出,微信的加密系统存在决定性的初始向量(IV),这意味着相同的输入可能会生成相同的加密输出,为潜在的攻击者提供了入侵机会。此外,MMTLS还缺乏向前保密性,这意味着一旦攻击者获取了加密密钥,历史通信内容可能会被破解。
报告还提到,早期版本的微信(如2016年发布的v6.3.16)使用了一种自制的加密协议,称为“业务层加密”(Business-layer encryption)。该协议存在诸多安全漏洞,包括在传输请求时暴露内部请求网址。在新版本微信中,虽然MMTLS被引入作为额外的加密层,但“业务层加密”依然在后台运行,增加了潜在的安全隐患。
据公民实验室称,“业务层加密”协议曾是微信传输网络数据的唯一加密层,直到MMTLS引入后才成为外层加密的一部分。然而,“业务层加密”暴露了许多网络请求的细节,使得攻击者能够通过监听网络流量直接获取请求内容。这种加密设计的缺陷给黑客攻击提供了机会。
此外,研究还指出,不仅微信,中国的许多应用程序普遍选择自制加密协议,而非采用经过广泛验证的标准加密协议。虽然这种做法在某些情况下可能优化了性能,但也带来了巨大的安全隐患。相比全球广泛使用的TLS协议,微信的自制加密系统在安全性和性能上均显得不足。
在微信的网络架构中,每个请求都需要经过两层加密处理——MMTLS和“业务层加密”。与标准加密协议只需一次加密相比,这种设计不仅增加了客户端应用程序的计算负荷,还提升了安全风险,尤其是在“业务层加密”仍存在漏洞的情况下。
最后,公民实验室强调,作为全球使用量极大的通讯工具,微信的网络加密安全问题不容忽视。“随着网络攻击手段的不断进化,微信必须加快升级其加密系统,转向更加安全、透明的标准加密协议,以确保用户的隐私和安全。”