英美間諜利用「憤怒的小鳥」收集個人信息○紐約時報（2014.01.30）

【Comment】

張善政

英美間諜利用「憤怒的小鳥」收集個人信息○紐約時報（2014.01.30）

http://cn.nytimes.com/world/20140130/c30mobile/print/zh-hant/

JAMES GLANZ, JEFF LARSON, ANDREW W. LEHREN

當一位智能手機用戶打開流行的遊戲應用「憤怒的小鳥」(Angry Birds)，開始向哈哈大笑的綠色小豬發射小鳥時，間諜可能正藏在後台某處抓取信息，據機密的英國情報文件顯示，這些信息能夠泄露玩家的方位、年齡、性別和其他個人信息。

美國國家安全局（National Security Agency，簡稱NSA）和與其對應的英國情報機構為了在全球範圍內監控恐怖主義嫌疑人和其他目標，一直在努力利用一種基本的現代通信副產品：隨着一代代新的流動電話技術的誕生，越來越多的個人數據湧現在網絡上，間諜可以隨手拿來。

幾十份此前從未披露的機密文件顯示，在所有這些無意中被當作間諜工具的程序中，最有價值的包括那些所謂的易泄密應用，它們會泄露從用戶智能手機身份識別碼到用戶當天去過那些地方等各種數據。

這些由NSA前承包商僱員愛德華·J·斯諾登 (Edward J. Snowden) 提供的文件顯示，到2007年，NSA和英國的政府通信總部 (Government Communications Headquarters) 合作研究，如何從幾十種智能手機應用中收集和存儲數據。自那以後，這兩家情報機構就開展了一系列的技術交流：如何在目標使用谷歌地圖 (Google Maps)時抓取位置信息和規劃數據；在某人使用移動版的Facebook、Flickr、LinkedIn、Twitter等服務發送帖子時，完整地獲取地址簿、好友列表、通話記錄，以及照片中嵌入的地理位置信息。

竊聽者對移動網絡的興趣在此前的報告中已有大致的描述，但是這些由《紐約時報》、《衛報》 (The Guardian)和 ProPublica 共享的機密文件所提供的細節則要多得多，描述了他們對智能手機和上面運行的應用的勃勃野心。一份2011年的英國文件顯示，這些舉措是一項名為「移動增兵」的行動的部分內容，類比向伊拉克和阿富汗做出的增兵。一份文件指出，在2010年一場高度機密的會議中，一位NSA分析師展示了一部描述 iPhone 和 Android 手機是豐富資源的幻燈片，該部幻燈片令人窒息的名字就明確無誤地顯示了此人對移動網絡的熱情——金塊！(Golden Nugget!)。

這種數據攫取的規模和細節尚不清楚。但這些文件顯示，NSA和英國的情報機構定期從特定的應用中獲取數據，特別是一些早期推出的手機應用。文件顯示，對於「憤怒的小鳥」等較新的應用，這些情報機構也有類似的數據攫取能力，但文件並未明確顯示，情報人員是否針對這些應用實施了操作。一些由廣告公司開發的個人資料中包含的數據尤為敏感：一份2012年的英國情報機構文件表明，間諜能夠徹底檢索包含用戶「政治立場」和性傾向等細節的智能手機應用。

為了更好地保護普通的美國人和外國人的隱私不會受到政府監控，奧巴馬總統本月宣布了新的限制措施，包括對NSA如何查看美國人電話的「元數據」作出限制，即路由信息、時間戳以及其他與通話相關的數據。但他並沒有提及NSA從易泄密應用和其他智能手機功能鎖獲取的大量信息。

雖然對於廣告公司收集用戶信息，向他們的手機發送定製廣告的做法，他表示了擔憂，但卻絲毫沒有提到美國間諜定期取得這些數據的做法。機密報告裡沒有任何內容顯示，這些廣告公司與情報機構進行合作，並分享信息；總統完全沒有提及這一話題。

長期以來，這些情報機構會從移動網絡中的方方面面截取短訊息與元數據等早期手機數據，並在近些年截取英特網通道上的計算機通信。因為這些網絡還攜帶了來自易泄密應用的大量數據，情報機構擁有現成的手段來收集和存儲這些新數據。相關文件沒有表明，有多少用戶受影響，其中是否包括美國人，或者說有了這麼多自動收集的數據，分析師看到個人信息的頻率有多高。

NSA在一份針對該項目問題的書面回答中說，「NSA在執行外國情報任務時並不會查看普通美國人的信息。因為在NSA執行合法的外國情報任務時，有時會附帶收集到美國公民的一些數據，對美國公民的隱私保護會貫穿整個過程。」NSA表示，針對「無辜外國公民」也有着相似的保護機制。

英國政府通信總部拒絕對任何具體項目加以評論，但表示它所有的行動都符合英國法律。

具體的個人資料

智能手機看起來幾乎讓一切變得太過容易。它既能作為電話使用，可以打電話、發短訊，又能作為電腦使用，去瀏覽網頁、發郵件，它們會產生出數據，也依賴數據。一份機密報告顯示，僅僅是更新Android軟件，一位用戶就會向網絡發送出500行電話的歷史與使用信息。

這樣的信息對移動廣告公司是有幫助的，比如它們可以根據一個人使用移動設備的方式、去哪裡旅行、打開過什麼應用和網站等因素，建起這個人的詳盡資料。廣告公司可以對網購數據和網絡瀏覽歷史進行三角測算，猜出一個人是否富有，或有沒有孩子等等。

NSA和英國的情報機構對這種數據的採集非常積極，將挖掘來的新信息和它們羅列的情報目標進行比對。

從一份2010年的英國機密文件上看，情報機構收集的「網絡餅乾」(cookies) 數據量極其巨大，以至於機密電腦在存儲方面遇到了困難。網絡餅乾是目標訪問一個網站時在他的移動設備或電腦上留下的數碼痕迹。

這份文件說，「數據是批量收集的，這是我們當前規模最大的一類活動。」

兩家機構對谷歌地圖格外感興趣，這種服務可以精確到幾米內，在個別地點還要更理想。據NSA一份2007年的絕密報告，情報機構從谷歌地圖應用收集到的數據多到「可以克隆出一個」谷歌全球路徑搜索數據庫。

英國情報機構的一份2008年的機密報告說，「實際上這意味着任何人在使用谷歌地圖時都等於在支持一個政府通訊總部系統。」

（《華盛頓郵報》[Washington Post] 在12月援引斯諾登文件稱，NSA在美國以外的地方使用元數據追蹤手機定位，還通過廣告餅乾數據將互聯網地址和實體地址聯繫起來。）

2012年的一份長20頁的英國機密報告給出了另一個例子，其中提到了一些電腦代碼，可以用於提取Android用戶玩「憤怒的小鳥」時留下的資料。這款應用的製作者芬蘭Rovio娛樂公司稱它的下載量已經超過10億次。

2012年有研究人員稱，「憤怒的小鳥」在跟蹤用戶的定位，還收集了其他一些數據傳送給移動廣告公司，Rovio 也因此遭到了公開的批評。在一則公布在網站上的聲明中，Rovio 說它的確收集了用戶的個人數據，但那是要遵守一些限制的。比如，聲明說「Rovio 不會有意收集13歲以下兒童的個人信息」。

機密報告指出，這些資料的內容取決於是什麼廣告公司在編輯，其中包括兩家最大的在線廣告機構——Burstly 和谷歌的廣告服務部。多數的個人資料包括一串用來識別手機身份的字符，還有一些用戶基本數據，比如年齡、性別和位置。有一份資料顯示了用戶當前在聽音樂還是打電話，還有一份包含了家庭收入這樣的數據項。

谷歌拒絕就本文置評，Burstly 更是沒有回應多次的置評請求。Rovio 女發言人薩拉·博格斯特羅姆 (Saara Bergstrom) 說公司對情報項目一無所知。「我們也沒有和你提到的機構有任何接觸，」博格斯特羅姆說，其中的機構指的是NSA和上述英國間諜機構。

報告稱，還有一家廣告公司創建了更具侵犯性的資料，並被情報機構獲取。報告沒有明確是哪些應用生成了這種資料，但公司名叫千年媒體 (Millennial Media)，總部設在巴爾的摩。

不好處理的數據堆

起初在從一些更接近傳統調查的消息或線索入手時，情報機構偶爾能取得一些成功——至少它們自己這麼認為。間諜們稱，對智能手機數據往來的跟蹤幫助他們在2007年瓦解了基地組織 (Al Qaeda) 在德國的一次炸彈陰謀。NSA誇耀說，為了瓦解這個陰謀，他們把電子郵件、用戶登入和網站數據交換等移動數據整合了起來。2010年一名駐墨西哥的美國領館僱員被謀殺後，智能手機數據挖掘起到了類似的作用，最終協助調查人員逮捕了某販毒集團殺手組織的一些成員。

然而，隨着移動設備開始成為技術領域的主導，數據的規模大幅增加，對間諜來說，如此巨量的數據篩查起來非常困難。從文件中可以看出，智能手機數據在NSA和英國人的數據庫裡日益累積，情報機構有時會感到茫然，不知道能用它來做什麼。一些個別的實驗讓我們得以窺見其數據庫有多麼難以掌控。

2009年，英美兩國間諜機構對它們的手機數據庫中的一小片數據進行了窮舉分析。一份機密報告說，僅對一個月的NSA手機數據進行篩查，就需要120台電腦，得到8,615,650個「參與者」結果——顯然指的是值得留意的電話通話人。在英國機構的三個月數據中進行類似的篩查，會得到24,760,289個參與者。

報告稱，分析「不見得一定是直截了當的」。情報機構的大規模電腦運算不足以對局部數據進行檢索整理。報告說，分析人員要「面對不成熟性」，對付電腦存儲和處理方面的問題。報告中沒有提到在那些海量數據中是否發現了可疑的東西。