【翻墙问答】国货手机、政府程式留后门 用户惨变黑客替身、诈骗受害人

2020-08-28
电邮
评论
Share
打印
2019年3月29日,香港一间电器行正在出售多款华为手机。同期,德国为下一代移动网络制定安全标准,根据相关标准,华为等中国制设备可能会因安全问题被排除在外。(美联社)
2019年3月29日,香港一间电器行正在出售多款华为手机。同期,德国为下一代移动网络制定安全标准,根据相关标准,华为等中国制设备可能会因安全问题被排除在外。(美联社)

问:近日不断传出,有中国的手机及政府的税务程式,含有一些无法移除的后门。这些后门有甚么用途?会对一般用户的安全,构成甚么威胁?

李建军:中国的手机被曝光留有后门,已非新鲜事。去年,华为美国首席安全官安迪·帕迪(Andy Purdy)就曾承认「中国有能力在所有人的产品上安装后门。」至于一些中国的应用程序,譬如政府的税务程式,多数有一些安装后一至两小时才会悄悄下载的后门程式,这些程式通常会取得相当高的权限,绝大部分这类后门都是想在你的电脑中取得资料,然后传给政府或个别企业。其中少部份这类后门的目的是用作网站广告的诈骗点击,甚至偷你的设备处理器运算力来挖矿。

无论最终目的为何,这类后门都明显会对你的私隐构成威胁。

问:为何中国的手机或程式,一而再,再而三出现各类后门?

李建军:一方面,中国不少资讯科技企业,习惯了藉诈骗点击,以至偷窃运算力挖矿等来提高它们本身的利润水平,它们并不认为透过后门偷窃个人私隐有问题。但更大的问题在于政府。中国当局利用这些后门,作为监控外商业务,甚至搜集情报的工具。政府使用后门程式,这对网络保安构成十分之大的问题,因为大部分保安软件或防毒软件,都会假设政府提供的程式是可信任和安全,因此不会采取封锁或杀毒手段。但不幸的是,中国政府提供的程式,往往都是不可信任,亦不安全。而由于当局强制公民使用这些程式,否则会为生活带来极大不便,所以基本上,你想移除或回避这些程式,都是不可能的事,这也是对大部分居于中国大陆的人而言最具挑战性的地方。

问:那这些后门程式,有没有办法可以移除?

如果你用中国制造的防毒软件,它们根本不会侦查或移除中国政府开发、提供的程式,所以你不必试图使用中国公司所推出的防毒软件来检查你的手机或电脑有否被装了后门。就算这样做了,排查到的后门都会是十分之少,大部分后门仍会继续在你不察觉的地方继续盗取你的信息。

相比之下,如果你用海外公司的防毒软件,可以移除大部分后门程式。不过,即使是海外的防毒软件,一般都会视政府程式为可信任,予以放行。会主动移除政府程式所植入的后门的防毒软件并不多。

但更糟糕的是,有部分这类后门程式,已经发展出防除错机制,去回避防毒软件的检测,因此,完全依赖防毒软件去对付后门程式这种思路已经过时。换言之,一旦后门已被安装上,要移除和侦测这类后门程式,好可能要花耗九牛二虎之力才能做得到。

而跟随手机安装的程式所附带的后门,根本是作业系统的一部分,所以基本上难以移除和侦测,就算防毒软件都帮不到你,只有厂商良心发现,或受到舆论压力下,主动透过作业系统更新,来达致移除后门的效果。但到底有多少手机制造商会这样做,本身都是十分之大的疑问。

问:那有甚么方式,去应付这种后门程式避无可避,甚至无法移除的局面?

李建军:首先,最简单粗暴的方法就是避免使用中国公司出产的手机,因为很多中国手机制造商的内部管理都有问题,就算手机生产商并无加入后门程式,都会因为对附赠程式的监管不足,后期被第三者加装后门而懵然不知。所以使用其他国家厂商出产的手机,会相对安全一些,至少因为有较高透明度,安全监管上会好一些。

至于中国当局的指定税务程式,或其他各类电子政务程式,那是避无可避,唯一避免这些程式取得你资料的方法,就是另外使用一台独立的设备专门去运行这些程式。使用时确保装载了这些电子政务程式的手机或电脑,不会有任何你的敏感个人资料。在这个情况下,就算中国当局留下的后门有多强,都不能够成功取得你任何资料。

Edge及Safari用户可直接点击收听
其他浏览器用户请点此下载播放插件

完整网站