德國政府正準備通過法律,允許當局使用國家木馬侵入人們的設備,即使他們沒有犯罪嫌疑。
該法律將擴大聯邦情報局的權力,並允許當局出於監視目的獲得對任何人設備的 root 訪問權限。
結果,具有可靠的端到端加密的加密信使將變得毫無用處——政府將能夠在人們的消息被加密和發送之前實時監控它們。
自 2016 年以來,德國聯邦刑事警察局已被正式允許使用國家木馬,當時大聯盟通過了一項新的監控法,該法隱藏在一項無爭議的法案中。
隱藏的立法為當局提供了在刑事調查期間用惡意軟件感染智能手機、平板電腦和計算機的法律許可。
儘管這項法案已經存在五年了,但德國情報部門至少從 2011 年起就開始秘密使用國家木馬 (Bundestrojaner),當時混沌計算機俱樂部 (CCC)“對德國警察部隊使用的“合法攔截”惡意軟件程序進行了逆向工程和分析”。
根據CCC,該惡意軟件“不僅可以竊取私密數據,還可以提供遠程控製或後門功能,用於上傳和執行任意其他程序”。
現在,政府希望擴大其監視權力,允許警方在任何情況下侵入任何公民的設備。
如果通過,這將產生超出範圍的能力,導致廣泛的監視關係。這令人擔憂,因為警方可以利用這些權力繞過 Telegram、WhatsApp 和 Signal 等應用程序中的加密,從而消除人們私下通信的能力。
對隱私的巨大威脅
發送加密消息的能力對於記者、人權活動家、舉報人、政治活動家、律師以及任何其他想要在服務提供商無法獲取敏感和私人信息的情況下傳達敏感和私人信息的公民來說非常重要。
眾所周知,大量的人需要訪問私人通信以保護自己免受迫害,這就是為什麼所有公民都必須享有加密消息的訪問權限。
長期以來,ProPrivacy、Privacy International 和 Open Democracy 等倡導組織一直認為剝奪公民私下溝通的能力是對基本人權(包括言論自由和訪問自由)的威脅。
現在,德國政府正計劃擴大歐洲最具侵入性的監控法之一 — — 此舉將極大威脅公民權利。即將到來的法律變化令人不安,以至於包括 Facebook 和谷歌在內的許多組織聯合起來表示反對。
這些公司表示,迫使互聯網服務提供商與政府合作在人們的設備上安裝國家木馬的決定將開創一個危險的先例。如果通過,它將從根本上改變互聯網服務提供商與其客戶之間的關係。
因此,谷歌和 Facebook 聯合混沌計算機俱樂部發出了一封聯名信,呼籲政府:
- 避免通過額外的法律削弱或破壞加密
- 放棄迫使公司遵守的計劃對《聯邦憲法保護法》的修正案——這將導致公司成為“情報服務的延伸部門”,並將“嚴重危害網絡安全”。
- 與公民、民間社會和行業進行協商公開地允許透明度和適當的議會程序,並在審議和通過提案之前獲得充分的反饋。
有風險的法律
看到大型科技公司強烈反對德國的計劃是積極的。然而不幸的是,這似乎不太可能對政府的計劃產生任何直接影響。
十年來,德國政府一直在使用惡意軟件進行調查,基民盟/基社盟和社民黨的大聯盟很可能決定在未來幾週內匆忙通過新權力。
如果《聯邦憲法保護法》修正案獲得通過,並且擬議的《聯邦警察法》也獲得通過,這將允許警方開始窺探使用政府惡意軟件的每個人,即使他們實際上並沒有犯罪嫌疑。
如果這種情況成為現實,不僅會令德國民眾,而且也會令其他地方的公民非常擔憂,因為這將開創其他國家可能尋求復制的先例。
不需要後門
就在“五眼聯盟”監視網絡中,各國政府一直在推動加密信使服務的後門。
英國、美國和澳大利亞政府一直公開倡導並通過法律,試圖迫使 WhatsApp 等服務與政府機構攜手合作,提供私人消息的訪問權限。
在消費者不知情的情況下部署國家木馬,與互聯網服務提供商合作,為政府提供了一種獲得設備根訪問權限的方法,這樣政府就不再需要服務提供商的後門,而是在消息加密之前獲得對消息的完全訪問權限。
這也給用戶帶來了嚴重的網絡安全和隱私風險。它不僅可能使政府能夠訪問每個人的個人數據,包括他們的憑據和密碼,甚至財務信息,而且還增加了感染該木馬的設備受到第三方黑客攻擊的可能性。
因此,此類漏洞的廣泛部署可能會對消費者安全造成嚴重威脅,並導致網絡犯罪分子實施嚴重犯罪。
最終,這給消費者帶來了太多的風險,德國(和其他政府)在法律上不應該允許這樣做——或者只應該在收到搜查令後才允許以高度有針對性的方式這樣做,以確保在設備成為目標之前有犯罪證據。