十大下載八個來自中國

如果有人提供一個鍵盤,並告之這個鍵盤將會記錄所有輸入並上傳伺服器,而且不使用行業標準點對點加密傳送,相信即使鍵盤是免費的亦絕不會有人使用。但只要改用另一種方式,將鍵盤變成軟件,卻有十億用戶正在使用。為何有如此荒謬的事?先從「白帽黑客」說起。「白帽黑客」就是專門測試數碼世界運作弱點的人,目的是協助堵塞安全漏洞。各大平台包括谷歌微軟蘋果等,皆有聘請「白帽黑客」。全球有多個白帽黑客論壇,其中一個是Hope論壇,今年已經是第16屆。論壇資料是公開訊息,筆者就習慣每年查看論壇資訊,提升知識。有興趣的讀者可瀏覽下列連結(註1、2)。去年其中一場以「如何保障十億人的網絡安全」為題,非常值得大眾關注。論壇首先分享統計數據,直至23年底,全球下載量最高的十大軟件,除了Instagram及Facebook分別排第五及第九外,其餘8個來自中國大陸。第一位是微信,下載量達十億,其後排名分別是Alipay、淘寶、拼多多、抖音、TikTok、QQ及百度。這些中國大陸軟件下載量大,因中共全面實行數碼政策,民眾不使用手機動彈不得。中共防火牆全面堵截民眾使用外國軟件,外地與防火牆內聯繫及獲取大陸的直接資訊,亦被迫使用這些軟件。整個軟件生態圈不平衡,可見一斑。

鍵盤軟件監控輸入

研究發現上述八大軟件,除了抖音及TiKToK外,其餘連線時皆不採用行業HTTPS或TLS的加密標準,而是使用自行制定的加密標準,標準欠缺透明度。論壇分析了WeChat的加密,撇開技術細節,結論是加密存在漏洞,可被破解。破解WeChat 小程式的傳輸後發現,小程式預設收集位置、裝置元數據、所有瀏覽資訊,並傳回WeChat伺服器。論壇的另一研究是9個中文輸入鍵盤軟件,包括百度、Honor、華為、iFlytek、OPPO、Samsung、騰訊、Vivo及小米,發現8個既不使用行業傳送加密標準,自行加密當中涉及一個2002年行業已知的弱點,網絡偷聽者可以截取每筆輸入。研究人員聯絡軟件供應商,除了Honor及QQ,其餘已修正問題。但論壇警告使用這些雲端鍵盤軟件,即使資訊不被截取,每筆輸入仍傳到中國伺服器,政權可按照法規取得資料。論壇最後一節提到阿里巴巴的UC Browser、百度及QQ的瀏覽器,傳送加密不使用行業標準且輕易可破解,並發現UC將裝置識別資訊、位置、瀏覽資訊、範圍內的無線熱點等上傳其伺服器,百度瀏覽器洩漏個人識別及位置資料,百度有問題的SDK還被數百個Google Play上的軟件使用。論壇還提到這些瀏覽器軟件更新時出現弱點,可以執行遠端指令。雖然這些弱點已經通知相關軟件商並得到改善,但又製造出一些新問題。讀者可瀏覽下列連結獲取詳細資訊(註3)。

(JOEL SAGET/AFP/Getty Images)
(JOEL SAGET/AFP/Getty Images)

將安裝軟件減至最少

從上述可見這些軟件的各種安全問題有一定共通點,就是不使用行業標準,自行制定標準不穩妥,且背後傳送大量敏感資料,沒有履行關鍵告知義務。除此之外,大眾還要聚焦更廣闊的問題。首先是軟件運作牽涉很多技術細節,且大部份缺乏透明度,甚至連實際控制人都不清楚。其次是軟件供應鏈複雜,即使軟件無惡意,開發時使用的第三方SDK、API可能隱藏各種安全問題。事實上,一般用家極難掌握關鍵資訊及技術,對軟件作出風險評估,大多倚賴蘋果及安卓兩大平台。不幸地兩大平台審查相關風險及告知皆不足。軟件下載量大及高評分絕不是安全指標。換句話說使用軟件風險用者自負。再有,論壇有如此重要且影響深遠的安全訊息,卻未被廣泛傳播,令大眾出現資訊缺口。由此可見,一般用家根本無法合理地評估軟件的風險,而這個風險涉及掏取手機內的資訊,全方位監控使用者的行為,甚至將手機變成移動間諜裝置。控制這個風險的最有效方法是將安裝軟件減至絕對必要,使用在國際上廣為應用且多方引證信譽優良的軟件,或利用極多人使用且積極維繫的開源軟件,又或經真正獨立第三方核實運作的軟件。請直接選擇網上服務,而避開安裝軟件。請協助宣揚上述訊息,若你發現親朋使用不穩妥軟件,請提點他們,並注意與對方聯絡的風險。

智能手機是最個人的及數碼生活核心的電子裝置,而且無時無刻與第三方聯繫。一個不妥當的軟件就可令你私隱盡失,不但為你帶來困擾,而且還影響他人。軟件生態環境在可見未來難以改善,安裝軟件務必查清其底細,了解你的選項,三思再三思。◇

註1: https://hope.net
註2: https//www.youtube.com/@HackerVideo/featured
註3: https://www.youtube.com/watch?v=Rc4KsYT-_B8&list=PLcajvRZA8E0_tLLEh1COeAv-TcaDna2k1&index=8

 

 

 

 

 

 

----------------------
🏵️ 法輪大法洪傳世界33周年特刊:
https://tinyurl.com/3p4e4yrn
----------------------
【不忘初衷 延續真相】
📰周末版復印 支持購買👇🏻
http://epochtimeshk.org/stores

🔔下載大紀元App 接收即時新聞通知:
🍎iOS🤖Android