{拆app達人}黃文津 揭露隱藏功能 推動更善良網絡世界

文章日期:2021年02月07日

【明報專訊】「有無Clubhouse邀請碼?」最近語音聊天應用程式Clubhouse爆紅,網上不時見有人求問邀請碼,以便開戶一聽這個小圈子社交平台到底在搞什麼。Clubhouse於去年4月推出之初,只是一群美國矽谷科技人和一小撮名人富商的吹水台。當時有一名香港人獲邀加入,她是26歲的女工程師黃文津(Jane)。查背景資料,她大有來頭,是自2018年起多次提前披露facebook、Instagram、twitter等科技巨企的隱藏功能,揪出科技公司蒐集用戶私隱的詭譎行徑與安全漏洞的那人。背後推動的不是名利,過程在圈外人聽來甚為枯燥,但在無人可離網而獨居的今日,她的揭密工程縱是毫不起眼,卻默默造福着天下人。

Clubhouse是另一場網絡移民?

上月底開始,香港不同社交平台有關Clubhouse的討論日漸熾熱,引得記者躍躍欲試,在2月2日下載程式一探究竟。平台主打「drop-in audio chat」,標榜用家輕鬆一鍵進入不同聊天室,每一個主題都不同,亦可自行開立秘密房間和朋友聊天,跟其他通訊軟件的分別在於只有聲沒有畫,使用感覺像以前和朋友「煲電話粥」,好處是沒有地域界限,可以隨時加入任何國籍人士甚至是名人的對話。

第一個香港Clubhouse用家

發現黃文津的過程並不曲折但有運氣。當記者登入Clubhouse,第一個聊天室便是由香港startup(初創企業)愛好者開設的房間,並且邀請了「第一個香港Clubhouse用家Jane」於當晚8時52分做嘉賓分享心得。對此黃文津也覺得神奇,因為自2013年到美國麻省大學達特茅斯分校修讀電腦科學後,一直少與香港朋友聯絡,直至今次才找到渠道認識說廣東話的startup朋友。

去年4月她獲矽谷朋友邀請加入Clubhouse時,感覺平台「如像有錢人的秘密俱樂部」,因為最初用家只有約一千多個,大部分都是矽谷精英或世界知名的明星和DJ,聊天室的話題來來去去都是startup。但有一件事讓她覺得厲害,就是Clubhouse竟然從beta版(測試版)開始,語音傳送已很暢順,即使她身處香港和加州朋友聊天,聲音幾乎同步、沒有滯後。由於她在科技圈內已很知名,以致平台聯合創辦人曾託人傳話,請她不要披露測試版內功能,她未有多花時間拆解,後來也沒多使用。直至最近因為Tesla創辦人Elon Musk在平台開講,加上平台完成了達10億美元估值的新一輪融資,躋身獨角獸,全球旋即引爆熱潮,至上月底錄得240萬下載次數。「人們原先以為社交app市場已經飽和,但好明顯是大家在疫情下看不見對方,大家很想念和別人傾偈的感覺。而且沒有畫面、不用整理樣貌,躺在牀上都可以聽人說話。」她笑說,香港小巴和的士司機可考慮一下用平台開Call台。

平台上愈來愈多不同國家的用戶,聊天室話題亦愈趨多元,黃文津深感平台最可貴之處是各國用戶能自由對話。近來大量大陸用戶湧入聊天室,因為Clubhouse作為新興語音平台,是中國網絡防火牆外的一個稀有空間,他們可自由地和任何人對話,包括香港、台灣、美國人,而不需要經過任何政治審查。她記得有一晚,在一個聊天室中聽到一班香港人和懂說廣東話的美國ABC交流對於種族歧視的看法,「有香港人開始明白,原來繼續說武漢肺炎會reinforce(加深)美國當地的種族歧視,令擁有亞洲外表的人身處當地,甚至是日本人都有被打的風險,這些聊天室令我好想聽」。不過,Clubhouse近日傳出有聊天室散播仇恨、歧視的信息,顯見公義和自由中間永遠存在拉鋸。

非點對點加密 如在在公共場合聊天

有人將Clubhouse在香港掀起的潮流歸類為網絡移民的其中一個現象,黃文津並不同意,她認為Clubhouse不是點對點加密的通訊軟件,且無法阻止任何人在背後偷錄對話,因此她建議大家使用的心態是視自己在公共場合和人聊天。至於有指Clubhouse使用中資公司聲網(Agora)的音訊技術,引起港人顧慮,她說其實很多科技公司都採用Agora產品,而且據她初步研究發現,Clubhouse所取用的用戶權限很少,只是要求聲音和電話簿的權限,電話簿亦只是用來配對朋友,所以她暫未太擔心。

反而另一個危機正迫在眉睫——當香港政府落實電話卡實名制,港人使用Signal可能面臨暴露身分的風險,因為Signal暫時是以傳送SMS驗證碼確認用戶身分;最近伊朗政府開始禁止市民使用Signal,「這視乎香港政府是否有意進一步打擊網絡自由,而從用戶角度看來,如果只能用香港的電話號碼,其實沒有太多解決方案。但長遠來看,我建議Signal考慮加密SMS信息或容許不需電話號碼註冊,避免用戶暴露風險」。

科技圈外人要聯絡黃文津並不容易,傳送信息到她的fb和IG帳戶,得到的回應是:「此帳戶不允許任何用戶傳送新的陌生信息。」黃文津在訪問時沒好氣地解說,因為之前收到的信息,100個裏面有99個是問她拿「藍剔」(公眾人物認證),「個個都以為我是fb入面(工作)的人」。

誤會有因,她總是最先披露facebook最新功能,包括發現facebook messenger正在測試收回信息功能,最轟動的一次要數2018年8月,她率先曝光facebook正在測試dating新功能,消息一出,令交友應用程式Tinder和OkCupid的母公司Match Group股價應聲大跌。fb最終在2019年9月於美國正式推出dating功能。

發現的經過她仍歷歷在目:2018年夏天,她在美國波士頓星巴克如常用電腦分析fb程式的更新,突然發現新的dating界面,於是截圖上載到自己twitter。時值周五約下午4時美股收市時段,一班投資者因而憤怒地指摘她造市獲利、操控股價。2019年4月她又發現IG正在測試隱藏like數功能,令追蹤者無法看到別人帖文的讚數;IG於同年11月推出功能時解釋,目的是希望用戶可以更無壓力地交流互動,而非追逐like數,有利年輕人心理健康。她說這次發現是她4年獨立逆向工程師(reverse engineer,分析軟件了解設計原理)生涯中最有成功感的發現,「因為實在是有好多人視like數為自尊心,和別人比較,所以知道IG有這個想法,即是開始為用戶的well being設想」。

她很高興IG最後真的推出功能,因為曾見證過無數曾曝光、但後來因反應欠佳等種種原因而胎死腹中的功能。「最初我揭露時,猜IG仍猶豫要不要繼續,因為後來媒體查詢,他們保守回應經常會測試一些用家功能,但後來因消息曝光,很多人覺得隱藏like數的想法好好,IG的態度亦產生變化。」

雖然有不少科企害怕她,例如像IG在2018年6月發表IGTV時,一改慣常做法,在發布會發表前半小時才上傳更新,以避開她的發現,但她的披露有時亦可作為科企推出新產品之前的風向儀。部分科企高層開始關注她的twitter,例如IG負責人Adam Mosseri和fb的AR、VR總監Andrew Bosworth,也有IG科技人員說因為關注她,比從內部渠道更快得知公司最新發展。

拆解、分析程式編碼 取一手資料

Jane揭密以上種種新功能的秘訣不是有內幕消息或偷竊資料,而是透過分析和拆解程式編碼取得一手資料,她稱呼這個挖掘過程為「拆app」。簡言之,只要應用程式beta版出現更新,她就會想辦法取得那部分的檔案,並用自己所編寫的程式掃描該檔,加以分析,看看有無有趣發現。她強調全部是經正常途徑取得的公開資料,「有時候app會想做實驗,可能讓全世界僅1%用戶試用新功能。所以很多時候程式更新時已內置了新功能程式碼,我只是用方法將個code找出來」。

她透露平均每周可以揭露3至4個新功能,高峰期是每周7、8個。她說未被披露的尚有很多,如何衡量資料應否披露?「不是要不要披露,而是值不值得,很多新功能例如可顯示更多廣告或邀請更多朋友,對我來說不是新鮮事,我亦對揭露這些不感興趣。披露與否視乎我覺不覺得exciting,例如IG測試隱藏like數功能,我覺得是很好的想法,就算IG隱藏得多深,我都會嘗試挖掘出來,讓大家討論這個功能對社會會有什麼影響。」

起牀、睡前緊盯有否更新

雖然說得輕鬆,但背後是無盡苦功。原來自2017年以來,她每天起牀和睡前都必檢查有沒有應用程式更新,「如像做突發新聞記者,『吼住』有更新就拆。因為跟美國公司時間,有時我會通宵不斷chur。呀,只限平日,他們星期六日都是放假的」。原來fb的beta版誇張到每一天都有更新,她拿起電話打開fb頁面解說留言格是一組人、上方工具列又是另一組人,每一個項目都會持續推出不同更新。

除了找尋隱藏功能,她亦會揪出應用程式的安全漏洞和侵犯私隱情况,「找安全漏洞和私隱侵犯的過程都是差不多,基於app每一步運作,都必須先傳送信號到伺服器,我就在傳送信號中間截取traffic(流量),觀察app會否發放奇怪資訊」。例如她在2019年2月發現,Android用戶只要授權fb取得位置和電話數據的權限,其實是同時默許fb掃描用戶附近的Wi-Fi 網絡。她在twitter刊出一張紐約曼哈頓地圖,上面滿佈密密麻麻的紅點,紅點是fb透過用戶手機取得的Wi-Fi資訊。有什麼可怕?「它可知道你和他雖然不是朋友,但你們用同一個Wi-Fi,是住在一起。亦可知道你樓上樓下、整個社區住了什麼人,並分析資料,有很多可能性。」推文曝光後,fb沒有直接回應,而是在數小時後封鎖了她可看見地圖的渠道。

她又調皮地說,有時亦會故意找找fb有沒有安全漏洞,因為如果報告漏洞,fb因而修正,會向報告者提供金錢獎賞,「我找到的都是小漏洞,可能一次500美元,當賺吓零用錢。我有朋友試過收到1萬美元」。一次她發現messenger room可以透過不斷創作訪客身分去搜刮其他用戶公開資料。如何發現?「既然它有一個功能是可以請非fb用戶的人進來聊天,我想它一定是做了某些程序才能容許一個無帳戶的訪客進入聊天室,我嘗試在它的網站輸入一些奇怪編碼,看看能否創出很多不同的訪客身分。」她形容自己就像一個很有好奇心的小朋友,在別人的程式輸入不同的編碼,看對方能否抵擋得了。

4歲已想做電腦工程師

這個「小朋友」早在4歲已發現自己對電腦的熱愛,「阿媽跟我說,我讀幼稚園時被問長大想做什麼,我說想做電腦工程師」。1994年出世的她,因為爸爸從事電子工程,所以小時候家中已有「牛龜電腦」,爸爸有時會開一些內置小遊戲給她玩玩,她卻走去開啟遊戲後面的檔案,發現原來在家中透過一部機器就可連接世界知道天下事,很是着迷。

7歲那年她有了自己的電腦,但爸爸擔心她亂上網,在IE瀏覽器設密碼,她就去下載Firefox;爸爸為登入帳戶加設密碼,她就到圖書館借書學裝Linux繞過監控;爸爸再在進入Windows前的登入畫面加上密碼,她就拆走儲存密碼的記憶體,令記憶體無電使電腦忘記密碼。後來換媽媽覺得她沉迷上網,剪斷寬頻上網線,「但仍阻止不到我對電腦的興趣,不斷去圖書館借書,到多媒體資訊室看CD-Rom」。

因病休學 「黑客松」點亮生活

雖然對電腦和科網充滿熱誠亦有天分,但在考試成績高於一切的香港,黃文津還是無法得到一個升學機會,因此出國讀書。2016年左右,她因健康問題不得不暫時休學,正當覺得前途灰暗,卻發現了「黑客松」(hackathon)文化。2017年她第一次參加在哈佛大學舉辦的黑客松,與一群美國大學生聚集一起,用一晚通宵創造項目,就好像韓劇Start-Up裏的畫面,有公司擺攤位招聘人才,晚上有整桌美食任取。她和團隊當時做了一個Chrome瀏覽器的擴充功能,只需要按一下鍵就可將fb身分資訊如名字、頭像模糊方便截圖,發明當日獲得獎項。

「我最初以為入科技公司一定要有哈佛、GPA爆4或有好勁的家底,但我在黑客松認識了一些人,發現只要我有idea,都可以入到科技公司。」她最後沒有繼續完成學位,2018年9月回港,給自己訂下用一年專注「拆app」可以走多遠的計劃,結果完全突破了自己想像,為科技界中人認識,有媒體想聘請她找出app的新功能和漏洞,但她拒絕了,「因為我不是為錢,其實我有時拆app,好多時是真心想知程式潛在的未來,我是熱愛這個app才會這樣做,不是為了like或什麼」。

她希望能推動app的資訊透明,並提前找到漏洞,令到大家上網可以更安全。現在她希望可以達成自己童年夢想,真正加入一間科技公司做電腦工程師,而最想負責的範疇是推動網絡用家的well being,令應用程式變得更公平和善良些。

文˙ 彭麗芳

{ 圖 } 李紹昌

{ 美術 } 張欲琪

{ 編輯 } 王翠麗

fb﹕http://www.facebook.com/SundayMingpao