晴時多雲

中國舉辦駭客競賽 攻擊iPhone漏洞監控維吾爾人

中國政府舉辦駭客競賽,以高額獎金徵求突破蘋果手機iPhone安全機制的漏洞,進而提供給中國安全機構監控維吾爾人。(路透檔案照)

中國政府舉辦駭客競賽,以高額獎金徵求突破蘋果手機iPhone安全機制的漏洞,進而提供給中國安全機構監控維吾爾人。(路透檔案照)

2021/05/16 06:01

〔即時新聞/綜合報導〕美國和法國媒體披露,中國政府監控全民無所不用其極,甚至秘密舉辦駭客競賽,以最高100萬美元(約2826萬台幣)的高額獎金,徵求突破蘋果手機iPhone安全機制的漏洞,進而提供給中國安全機構監控維吾爾人。

綜合美國新聞週刊(Newsweek)、麻省理工學院所屬的科技雜誌「MIT Technology Review」和法國「新觀察家」雜誌等報導,全球「白帽駭客」(white hat)盛事「Pwn2Own」競賽原本是各國菁英駭客的「武林大會」,宗旨為找出未曾發現的軟體漏洞,並提供給相關公司進行修補,中國駭客一直是「Pwn2Own」主要參與者之一,但中國網路安全服務公司「奇虎360」創辦人周鴻禕曾公開批評參賽者,認為駭客與相關知識應該留在中國,才能了解軟體漏洞的重要性和「戰略價值」,該論點後來也被中國政府採納。

不久後,中國便禁止網路安全研究人員參加海外駭客競賽,並從2018年開始舉辦名為「天府盃」的本土駭客大賽,獎金最高超過100萬美元。

首屆「天府盃」於2018年11月舉行,最大獎由奇虎360的研究人員趙奇勳奪得。由於iPhone作業系統的內核有缺陷,趙奇勳發現,可以從Safari瀏覽器為突破點,只要訪問被嵌入他編寫的惡意代碼的網頁,遠端駭客即可接管任何iPhone手機,讓犯罪集團或政府得以監控人民。

首屆天府盃賽事結束後的2019年1月,蘋果公司便發佈修補該漏洞的更新程式。同年8月,Google發表一份針對駭客活動的分析,指出有心人士正在利用iPhone監視他人,研究人員發現5個獨特的漏洞開發鏈,其中便包括趙奇勳贏得天府盃的漏洞利用程式。

據報導,美國安全機構發現,中國駭客突破蘋果手機的安全漏洞後,迅速轉交給中國情報部門,使其得以用來監控維吾爾人。對此,奇虎360和天府盃均未回應,趙奇勳則堅決否認參與,蘋果和Google也拒絕發表評論。

由於天府盃的贊助商包括阿里巴巴、百度、奇虎360等知名企業,美國政府質疑這些賽事和中國軍方有關。奇虎360被美國商務部認定涉及中國政府軍事採購業務,將其列入出口管制黑名單之一。協助舉辦天府盃的「天融信」(Topsec),據稱為中國政府提供駭客培訓、服務和就業機會,還會僱用民族主義駭客。

此外,天府盃其他贊助商和組織,例如綠盟科技(NSFocus)、「Venus Tech」等,也都和駭客攻擊活動有關。「中國電子科技集團」(CETGC)旗下的子公司「海康威視」,負責提供維吾爾語分析和臉部辨識工具,也在2019年被美國列入貿易黑名單。