編者按:《CDT報告匯》欄目收錄和中國言論自由及其他人權問題相關的報告資訊。這些報告的來源多種多樣,包括機構調查、學術研究、媒體報導和網民匯集等等。也歡迎讀者向我們推薦值得關注的報告。
中國數字時代本周推薦媒體:
一、中文輸入法的安全漏洞泄露客戶隱私
去年8月,中國數字時代曾報導過第一大中文輸入法「搜狗」存在嚴重的安全漏洞。這將導致用戶輸入的內容會被泄漏,並且無論客戶在哪,這些內容都會傳送回位於中國大陸的伺服器。
在23號,發布該報告的機構、多倫多大學公民實驗室(The Citizen Lab)再次發布了一份類似的報告,指出除了「搜狗」外,大部分中文輸入法也存在同樣的問題。
報告封面
在最新的調查報告中,公民實驗室調查了百度、榮耀、華為、訊飛、OPPO、三星、騰訊、VIVO和小米九家手機廠商和輸入法軟體公司,發現有八家提供的輸入法存在嚴重漏洞,這些漏洞可以被用來監視用戶輸入的內容。其中,只有華為的產品沒有發現任何安全問題。在測試中,該機構輕而易舉的破解了多家廠商用來保護用戶輸入內容的加密法。甚至還有廠商乾脆沒有用任何加密手段保護用戶內容。
報告估計,算上「搜狗」輸入法,大概有10億用戶會受到影響而且他們認為這種影響已經在發生了。他們指出,這些用戶輸入的內容已經遭到了黑客的搜集。比如,五眼聯盟的國家過去就曾利用中國應用程式中類似的漏洞實時監控行為。
之後,公民實驗室向這些公司提交了相關的漏洞。8家廠商中的5家均做了回復,其中只有百度、VIVO和小米「已讀不回」。百度甚至只修復了最嚴重的幾個漏洞,其餘的漏洞則視而不見。此外,手機製造商對於這些內置輸入法的漏洞,都做了修復。然而,百度輸入法卻並未得到修復,其中榮耀手機完全沒有修復百度輸入法的任何漏洞。
最後,公民實驗室提醒公眾:
搜狗、QQ、百度、訊飛輸入法的用戶,無論輸入法是從應用商店安裝還是手動安裝在作業系統上,都應確保輸入法及作業系統維持在最新版本。
注重隱私的用戶應該終止任何輸入法中的雲端功能。
注重隱私的 iOS用戶不要給予輸入法「允許完整訪問」的權限。
二、米華健:六四學運給美國大學的教訓
編者註:四月下旬以來,親巴勒斯坦抗議活動席捲美國各大高校,多名抗議學生被警方逮捕。目前,抗議活動仍在繼續並有越演越烈的趨勢,現已成為美國社會和輿論的焦點。
美國歷史學家米華健在26號發布一篇文章,通過解釋發生在1989年的六四學運和天安門大屠殺,提醒美國大學的校長們抵制來自國會和政府壓力,反對部署國民警衛隊強制驅離學生。
1989年天安門廣場學生抗議和2024年哥倫比亞大學學生抗議,圖片來自米華健
中國數字時代摘錄部分如下:
儘管有明顯的區別,但1989年中國的春季學生運動與2024年美國的春季學生運動之間仍有發人深省的相似之處——尤其是在關於這兩場運動的過度言論和反應方面。1989年和現在一樣,學生們立刻提出了很多要求。在許多位高權重的人看來,他們顯得急躁、不守規矩、不負責任、不切實際。
