問:繼iOS出現隱藏有問題的危險程式碼後,Android平台又發現因使用有問題程式碼引發的保安危機,而且又與中國有關,能否講解一下?
李建軍:趨勢科技最近發現,使用百度Moplus SDK所編寫的Android程式,內裡有不少危險功能,包括在你的手機建立一個HTTP主機,然後在百度的主機遙控下,存取你手機通訊相關的資料。現時世界上有萬多個Android程式使用Moplus SDK編寫,包括四千多個與百度相關的手機應用程式。這對普遍Android手機、平板電腦以至機頂盒用家構成保安和私隱上的威脅。
問:百度聲稱己經更新了Moplus SDK,指有關問題已經解決,但事實是否如此?
李建軍:雖然百度聲稱已經更新了Moplus SDK,但使用Moplus SDK所寫的程式是否真的安全,仍然是很大的問號,因為趨勢科技發現Moplus SDK有不少危險的監控功能,仍然在新版保留下來。換言之,除非百度徹底改變Moplus SDK的設計以及背後理念,否則任何使用Moplus SDK所寫的Android應用程式都是不安全。
另一方面,百度更新了SDK都好,由於Android並不存在類似蘋果App Store的審查機制,軟件作者不主動更新SDK並推出新版的話,你的手機就會仍然不安全。而軟件作者在現行機制下,並無太大的動力去更新SDK,因此,問題比iOS的XCodeghost事件更加麻煩。聽眾如果發現自己使用的軟件用了Moplus SDK,很可能要停用一段時間,甚至需要尋求替代軟件。
問:那我怎知道自己使用的Android應用程式,是否已經受到有問題的Moplus SDK感染?
李建軍:首先,百度公司自己推出的軟件,都肯定有用Moplus SDK,所以對大部分使用Android手機、平板電腦和機頂盒的聽眾,移除百度地圖、百度瀏覽器,甚至由百度推出的私隱保護程式,是最有效確保自己的手機不會受Moplus SDK感染的方法。
此外,安裝外資軟件公司推出的Android防毒軟件,在安裝軟件前經防毒軟件檢查,在確認未受感染後才安裝,是有效防止受Moplus SDK感染的方法。而在這次事件,中國公司的防毒軟件是絕對不能用,因為Moplus SDK是由中國大公司自己主動植入,並非黑客的傑作,或中國當局或硬件製造商未通知用戶情況下植入病毒或木馬,換言之,其他中國公司推出防毒軟件,很可能對Moplus SDK視而不見。而由百度的做法來看,其他中國公司所寫的軟件,亦可能同樣存在一些古古怪怪的後門,只不過未被海外的專家的發現。堅持使用中國公司推出的軟件,只會增加你的Android設備感染木馬或病毒的風險,令你自己的資料落入中國當局手中而懵然不知。
問:在接二連三都有手機、平板電腦或機頂盒應用程式,受中國公司或個人所散布的有問題程式碼影響下,除了不用中國防毒軟件,避免使用中國軟件,是否是確保自己個人資訊安全的最有效方法?
李建軍:在Android平台,避免使用中國軟件,幾乎是最徹底和有效保障自己資訊安全的方法,因為無論Google Play,還是其他機制,都無法保證軟件不會受到中國公司或個人開發的古怪程式碼污染。
在iOS平台,這個問題沒有這麼嚴重,因為只要你不對手機越獄,蘋果App Store的審查機制,仍然相對有效阻止中國公司或個人的奇怪程式碼大規模污染,就算出現大規模污染,蘋果仍然可以透過App Store機制下令軟件下架,防止情況進一步惡化。當然,能避免使用中國的程式,那就更加安全。
0:00 / 0:00