問:相信有不少聽眾都使用小米路由器,但最近有人發現,小米路由器內置一些劫持程式,會迫你看小米所發放的一些廣告,或網站傳來的錯誤信息,跳到小米的廣告板面,其實這是怎麼一回事?
李建軍:任何路由器,其實都是一部小型電腦。由於現時用戶對網絡速度要求十分高,因此,路由器的功能也越來越齊全。基本上,現時的路由器,不論那一個牌子,都是一部運行Linux作業系統,或專有作業系統的小型電腦。
小米路由器,就是將OpenWRT的路由器作業系統作出修改,然後加上自行撰寫的劫持用軟件,當網頁出現錯誤時,不單會出現小米自行設計的一些網頁,並載入廣告,令用戶構成困擾,而且會將你去過網站的紀錄傳回小米的主機,一些你瀏覽一些內容敏感的網站,那就算你用VPN,都不能夠保證你的私隱。
問:那小米路由器有這樣的劫持動作,除了網頁出現錯誤時,有可能會把自己瀏覽過的地方傳到中國當局那邊,還有什麼問題?
李建軍:小米曾經偷偷在手機加入程式,把用戶的瀏覽資料傳回中國。由於手機和路由器都是用Linux作業系統,甚至都是ARM的處理器,換言之,小米可能將手機上用來偷用戶資料的程式搬到小米路由器上,用戶完全不知情,因此對小米路由器用家而言,他們洩漏私隱的風險幾乎與用小米手機一樣。如果害怕私隱外洩的話,應即停用小米路由器,改為於海外購買,由海外大品牌所出產的路由器。
問:假如安裝了OpenWRT的特別版本,又能否令小米路由器如常運作,但不受這些騎劫路由器的奇怪代碼困擾?
李建軍:由於路由器的作業系統,與路由器硬件本身緊密相連,能否安裝未受污染的OpenWRT或DD-WRT作業系統本來己經是一個疑問。而更大問題在於,就算安裝了OpenWRT或DD-WRT,小米路由器硬件中,是否有一些奇怪的木馬或後門,讓小米重新安裝有問題的代碼,亦是一個疑問。
因此,由保障用家私隱的角度,唯一有效保障自己的方法,就是拒絕使用小米路由器,並由海外購買其他大牌子的路由器所取代。
問:除了小米,像百度、360等等,都推出了自己聲稱智能路由器產品,又是否同樣的不安全?
李建軍:無論中國那一間公司推出的智能路由器產品,終極目標都是想得到用戶的上網私隱來牟利,簡單就可能想賣多點廣告,亦可能想與當局全面合作,藉其他壟斷性業務賺大錢。因此,中國互聯網公司推出的智能路由器都是有危險性,不應購買。
比較安全的路由器,應是海外品牌,並且容許用家自行安裝DD-WRT一類的作業系統,一方面這類路由器的速度和功能比較強大,另一方面,就算無法信任原廠提供的軟件都好,都可以使用開放源碼群體所提供的軟件,提升安全水平。如果無法信任海外品牌在中國銷售的產品,可以考慮購買這些品牌在海外銷售的版本,但內裡用戶介面可能因針對市場不同而無中文介面。
除了使用Linux作業系統的路由器外,蘋果公司的Airport Extreme系列也是可以考慮,因為現代Airport Extreme路由器,實際上是一部使用蘋果自家作業系統的小型電腦,而暫時未有證據顯示蘋果向中國當局提供蘋果作業系統的關鍵數據,而中國黑客,暫時亦未十分熟悉蘋果作業系統的漏洞,並對此作出攻擊。
0:00 / 0:00