在阿拉伯联合大公国所风行的通讯软体“ToTok”被发现实际上是阿联酋政府的监控工具,掌控用户的一举一动。
文|麦浩礼
阿联酋总理穆罕穆德亲王(Sheikh Mohammed bin Rashid Al Maktoum)。图片|汤森路透
全球通讯软体的普级性愈来愈高,各国面临的资讯安全风险也加剧。《纽约时报》(The New York Times)报导,7月推出的通讯软体“ToTok”,在阿拉伯联合大公国(UAE)及周边中东国家迅速走红,但却被发现实际上是阿联酋政府的监控工具,藉此全面掌握用户的一举一动。
由于阿联酋长期以来封锁苹果手机内建的FaceTime,以及社群媒体脸书(Facebook)、WhatsApp 等应用程式,不少阿联酋用户必须使用翻墙软体才可对外联络。
图片|来源
ToTok 推出后,阿联酋的半官方媒体一直宣传这款软体,称可以让居住在阿联酋的外籍人士打电话给远方的家人。至今 ToTok 已被下载数百万次,大多数为阿联酋的用户。
阿联酋政府暗中读取用户图文资讯
ToTok 与很多应用程式一样,在安装前均会要求提供位置讯息以提供准确天气预报,也会抓取电话内联络人资讯,以建立聊天清单。当然亦会要求授权麦克风、相机等读取权。不过《纽时》调查后指出,ToTok 实为阿联政府的监控工具,用户在使用这款 App 时,会在不知情的情况下被阿联政府读取所有图文讯息。
图片|来源
ToTok 会暗中纪录用户的语音等数据搜集用户的所有资料,并传送到一间名叫 Breej Holding 的公司。
调查指出,该公司很可能隶属于阿联政府的网络安全公司 DarkMatter,该公司 2015 年由杜拜警察局少将儿子创立,亦是阿联电讯服务商 Axiom Telecom 的创办人,有指 DarkMatter 聘用了美国前中央情报局、以色列国防军科技部门人员,而 DarkMatter 则与数据搜集公司 Pax AI 连结,Pax AI 总部并于阿联政府阿布扎比通讯情报部门同一座大楼内。
通讯安全专家帕沃德尔(Patrick Wardle)分析 ToTok 分析这个程式后,指出 ToTok 原型程式是中国的美颜通讯程式 YeeCall,只是加上阿拉伯语及英文介面略再修改。
帕沃德尔指出,“比以往要找骇客入侵目标人士的做法不同,政府只需要让人们自动下载程式,便能套取用户资料、位置及对话等资料”。
纽约时报报导,中东通讯软体 ToTok 实为阿联政府监控工具。图片|Apple app store
基于安全维护,Apple 与 Google 的安卓(Android)商店已下架程式禁止再让人下载,但拥有程式的人不会被主动删除。
ToTok 没有直接回应事件,仅指由于“技术问题”而没法下载,并表示“今天流传有关 ToTok 的传言,开发程式的目标是创建可靠、易于使用的通讯平台。ToTok 有高度安全标准以保护用户数据同时符合本地和国际法律要求的私隐条款保护”。