编者按:《CDT报告汇》栏目收录和中国言论自由及其他人权问题相关的报告资讯。这些报告的来源多种多样,包括机构调查、学术研究、媒体报道和网民汇集等等。也欢迎读者向我们推荐值得关注的报告。
中国数字时代本周推荐媒体:
一、中文输入法的安全漏洞泄露客户隐私
去年8月,中国数字时代曾报道过第一大中文输入法“搜狗”存在严重的安全漏洞。这将导致用户输入的内容会被泄漏,并且无论客户在哪,这些内容都会传送回位于中国大陆的服务器。
在23号,发布该报告的机构、多伦多大学公民实验室(The Citizen Lab)再次发布了一份类似的报告,指出除了“搜狗”外,大部分中文输入法也存在同样的问题。
报告封面
在最新的调查报告中,公民实验室调查了百度、荣耀、华为、讯飞、OPPO、三星、腾讯、VIVO和小米九家手机厂商和输入法软件公司,发现有八家提供的输入法存在严重漏洞,这些漏洞可以被用来监视用户输入的内容。其中,只有华为的产品没有发现任何安全问题。在测试中,该机构轻而易举的破解了多家厂商用来保护用户输入内容的加密法。甚至还有厂商干脆没有用任何加密手段保护用户内容。
报告估计,算上“搜狗”输入法,大概有10亿用户会受到影响而且他们认为这种影响已经在发生了。他们指出,这些用户输入的内容已经遭到了黑客的搜集。比如,五眼联盟的国家过去就曾利用中国应用程序中类似的漏洞实时监控行为。
之后,公民实验室向这些公司提交了相关的漏洞。8家厂商中的5家均做了回复,其中只有百度、VIVO和小米“已读不回”。百度甚至只修复了最严重的几个漏洞,其余的漏洞则视而不见。此外,手机制造商对于这些内置输入法的漏洞,都做了修复。然而,百度输入法却并未得到修复,其中荣耀手机完全没有修复百度输入法的任何漏洞。
最后,公民实验室提醒公众:
搜狗、QQ、百度、讯飞输入法的用户,无论输入法是从应用商店安装还是手动安装在操作系统上,都应确保输入法及操作系统维持在最新版本。
注重隐私的用户应该终止任何输入法中的云端功能。
注重隐私的 iOS用户不要给予输入法“允许完整访问”的权限。
二、米华健:六四学运给美国大学的教训
编者注:四月下旬以来,亲巴勒斯坦抗议活动席卷美国各大高校,多名抗议学生被警方逮捕。目前,抗议活动仍在继续并有越演越烈的趋势,现已成为美国社会和舆论的焦点。
美国历史学家米华健在26号发布一篇文章,通过解释发生在1989年的六四学运和天安门大屠杀,提醒美国大学的校长们抵制来自国会和政府压力,反对部署国民警卫队强制驱离学生。
1989年天安门广场学生抗议和2024年哥伦比亚大学学生抗议,图片来自米华健
中国数字时代摘录部分如下:
尽管有明显的区别,但1989年中国的春季学生运动与2024年美国的春季学生运动之间仍有发人深省的相似之处——尤其是在关于这两场运动的过度言论和反应方面。1989年和现在一样,学生们立刻提出了很多要求。在许多位高权重的人看来,他们显得急躁、不守规矩、不负责任、不切实际。
