【鎖定匿名者】中國政府稱已破解AirDrop 可識別用家電話號碼及電郵
早前北京市司法局宣布,成功破解 Apple 的 AirDrop 無線轉送加密技術,可以透過比對自製的彩虹表,識別出由發送訊息或圖像的裝置的個人私隱資料,即用家的電話號碼、登記的 Apple ID 電郵地址,似乎在警告市民不要以為可以匿名散發不實或危害國家的訊息。不過,有網民就質疑這張彩虹表並非解密技術,只是一張大型的國民私隱資料對照表。
外界曾估計 AirDrop 受中國政府施壓
AirDrop 是 Apple 在 iOS 7 開始提供的無線訊息及檔案傳輸技術,由於可以由藍牙及 Wi-Fi 無線傳送給同樣為 Apple 系統的裝置如 iPhone、iPad 及 macbook,不用經互聯網,而且速度超快,因而深受用家歡迎。不過,去到 iOS 16.1.1 推出,Apple 便將這項可長期設定開啟的功能進行一定程度的封鎖,例如將開放接收來自任何人訊息或檔案的時限設為 10 分鐘,導致用家每次要接收非聯絡人的檔案時都要手動開啟,帶來一定程度的不便,而當時外界估計是 Apple 受到中國政府的施壓,防止國民使用 AirDrop 發送危害國家安全及不實訊息,甚至透過官方微訊帳號京司觀瀾指發現越來越多不良分子惡意利用這項技術,Apple 才作出讓步。
而就在最近,北京市司法局又宣稱委托了司法鑒定所北京網神洞鑒科技破解 AirDrop 的匿名技術,研究員從送交的 Apple 裝置及發送記錄中,發現了破解訊息中包含的已加密裝置私隱資料的方法,並製作出一張彩虹表用於破解 AirDrop 所使用的哈希值(hash),令司法部門日後可以還原出裝置登記的設備名稱、所使用的電話號碼及 Apple ID 帳戶電郵地址,更快速鎖定目標執法,警告這項技術已不再具有匿名性,暗示市民不能再隨意利用。
網民質疑破解後的實用性
不過,在中國網民的論壇上似乎就對這次官宣不太信任,質疑所謂的破解法的實用性,例如有網民便認為鑒定所研究員並非真的發現到哈希值的運算模式,只是將中國政府收集到的國民電話號碼、 Apple ID 帳戶電郵地址送給鑒定所製作大型資料庫,然後再將 Apple 內的 AirDrop 發送記錄拿來對照,以盲撞方式找出兩者的關連。亦有網民認為如果屬實,這項方法便存在漏洞,只要利用沒有插上電話卡,或以外國地區開設的 Apple ID 登記的裝置,發送 AirDrop 後的訊息記錄便因不存在於官方的大型資料庫內,因此不能還原訊原發信者身分。
雖然現階段官方未有更多發布,而且亦未見中國網民實際利用上述方法發送「危害國家」的訊息被捕,因此無法求證北京司法部門所謂的破解技術真偽。但其實如多準備一部「乾淨」裝置發送訊息,感覺上都非常麻煩。
