【翻墙问答】 API泄用户私隐 中国Google Play大批App下架

2017-08-25
电邮
评论
分享
打印
  • 打印
  • 分享
  • 评论
  • 电邮

【翻墙问答】 如何在iPhone关闭iCloud Keychain功能

问:近日有大批Google Play上的App被突然下架,而大部分下架的App,都被指与中国一间公司个讯所推出的API有关,怀疑相关API不断将用户资料传到个讯的中央主机之上,造成私隐上的困扰。那到底,是怎样的一回事呢?

李建军:这次Google Play被下架的程式,多达500多个,全部都是用了中国一间公司个讯的API。个讯公司声称,由于API使用Javascript的更新功能,违反了谷歌公司的要求而被下架。但在海外的保安公司,就发现个讯的API涉嫌将用户的私隐,源源不绝传到个讯在中国的主机,引发对私隐的疑虑,因此,谷歌才下令使用个讯API的程式都要下架,在作出修改并通过审批后,才可以重新在Google Play上架,让用户下载、购买,或者更新。

近年不少网络游戏App,都会带有广告,而个讯API本来是为投放广告而开发。但中国的公司,往往漠视各国私隐法律的要求,亦无视用户的私隐,不断将没必要搜集的用户资料都搜集。因此,如果手机内含敏感私隐资料,最好不要用来玩手机游戏,亦要小心个别含有广告的免费软件。就算由其他国家出产的App,都不一定百分百安全,因为不少公司为开拓中国市场,或减低成本,都将程式的开发工作移到中国进行,而中国的程式员为了贪图方便,往往使用这些有问题的API。

而这些事件反映出,谷歌的Google Play,以致苹果的App Store保安审查机制是相当有效而且严谨,由这些程式商店下载的是最安全,相反,自行下载的APK,本身不一定可靠,而未经谷歌审批的程式,当中不少可能带有保安风险。因此,中国手机生产自行提供的程式商店,必须要小心提防。

问:不少iOS用户,都会用iCloud keychain去管理自己的密码,只不过有保安专家发现,iCloud keychain有可能被执法人员在扣留手机的时候,一并将各类密码取走,那对中国用户而言,iCloud keychain这个如此好用的功能,又应否使用?

李建军:iCloud keychain在设计上确实存在一些弱点,可以让执法人员在扣留手机后,只要知道Apple ID,而手机又是被信任的装置,就可以取走keychain上所有密码,所以如果你是一些受当局监控人士,使用iCloud keychain的确有风险,所以不建议使用。

如果你的Apple ID是在中国的话,就更加不要用iCloud keychain,一方面,中国用户的iCloud数据中心在中国国有电讯公司网络内,与你的资料存于中国国有电讯公司一样。另一方面,亦不清楚苹果中国分公司,与中国当局有多大程度上的合作,当你的资料并未受西方国家私隐法律保护之下,贸然使用iCloud keychain,是十分危险的行为。在iOS平台其他密码管理程式或服务,可能更为安全可靠,没必要一定要用iCloud keychain的服务。就算将Apple ID搬离中国,由于iCloud keychain有的问题是属于设计上的,因此并不建议使用。但如果是用海外的Apple ID,由于帐户受到海外的私隐法律保障,而主机亦不设于中国境内,有可能设于法律比较严谨的国家境内,苹果中国分公司未必容易可以将你的资料交予中国当局,相对上比较安全。但暂时未看到有任何必要性,必须使用iCloud keychain。

这次翻墙问答,我们准备了视频,示范如何在iPhone或iPad关闭iCloud keychain功能,欢迎各位听众浏览本台网站,收看有关视频。

完整网站