【翻墙问答】 QQ及微信藏极危险木马程式难移除

问︰有网络保安公司研究报告,指中国常用的QQ及微信,内藏极危险的木马软件,请问面对这一些内藏木马软件,能否移除,还是需要用另一些方法去防止?

Your browser doesn’t support HTML5 video

问︰有一间网络保安公司研究报告,指中国常用的QQ以及微信,内藏极危险的木马软件,而且难以清除,请问面对这一些内藏木马软件,能否移除,还是需要用另一些方法去防止木马软件偷窃自己的资料?

李建军︰这次Lookout公司发现,同样由腾讯公司开发的QQ和微信,都内藏一种叫xRat的木马程式,这程式会在手机内伪装成无害的文件,令到难以删除,但xRat可以取得手机极高的执行权限,包括取得其他软件的通讯资料,以及启动手机咪高峰等。因此,只要安装QQ和微信,就等如任由中国当局监控你的一举一动。

要保护自己的个人资料以及安全,避免受到QQ和微信内藏的木马程式所影响,唯一方法是不要在手机安装QQ和微信,如果一定要用QQ和微信,就要使用一部无关痛痒的手机,以及如果要会见一些相对敏感的人物,或出席一些相对敏感的会议时,就必须关闭有关手机;如果手机可以拆出电池,就乾脆连电池都拆除,以策安全。除非腾讯公司愿意推出一个安全版本的QQ或微信,否则这个木马程式是无法移走,安装防毒软件亦无补于事。

以保障个人安全而言,避免使用由中国公司出产的任何软件,以及关连的各类服务,几乎是最有效的方法。因为现时中国软件为了保住市场地位,与当局的合作几乎是无底线,因此,现时只有假定任何中国公司出产的软件,都可能与当局的监控有关。

问︰谷歌最近决定,会对一系列由Symantec发出的数码证书不予信任,并在明年初推出的Chrome 66版执行,这会对大部分听众会有甚么影响?而谷歌为何不信任Symantec推出的大部分数码证书?

李建军︰谷歌决定在Chrome 66版开始,不信任所有Symantec在2016年后所核发的数码证书,最终所有Symantec将管理数码证书工作架构交予Digi Cert公司前发出的数码证书都不予信任,除了少数谷歌已经审视过安全状况的证书。这与Symantec推出的数码证书,不少有保安隐患有关。

由于中国相当多银行都仍然采用Symantec的证书,如果中国的银行不改变或更新数码证书的话,相信这将会造成极大的问题。但比起谷歌对付WoSign,或CNNIC的证书,由于仍然给予网站拥有人相当充裕的时间更新,相信暂时影响有限。谷歌会在Chrome 62版开始发出警告讯息,因此,有可能年底浏览网上银行网站时,会经常受到Chrome的警告讯息影响,而这影响会维持多久,要视乎中国各大银行对更新数码证书所持的态度。

问︰无论现时iPhone 8或以下所用的Touch ID也好,未来的iPhone X用的Face ID都好,都其实要配合一个密码,而苹果容许设定输入密码次数多过十次后,就将所有资料删除,但需要作出设定,那应如何设定?

李建军︰现时苹果 iOS 10已经可以设如果输入密码次数多过十次后,就将手机所有资料删除,如果想防止自己的手机落入公安或国保手中出现资料泄漏,你应该作出这个设定,只不过预设是将这项功能关闭,要自己开启的。这次翻墙问答,我准备了视频,示范如何在iPhone启动这项功能,欢迎各位听众浏览本台网站,收看有关视频。如果这功能启动后,相信就算有人偷了你的手机,都不能取得手机内的关键资料,如果你可能在公安的目标的话,我个人建议启动这个功能。