問:近日俄國有資訊安全公司發現,華為的應用商店AppGallery上,居然有一百九十種遊戲內有惡意木馬,究竟是甚麼木馬?而如此大量的遊戲木馬透過AppGallery進行散佈,又反映了華為手機對聽眾有甚麼潛在威脅?
李建軍:根據俄國資訊安全公司所披露的內容,這次在AppGallery內大規模發現的木馬,主要目的是竊取手機的定位、網絡位置、裝置技術規格等資訊,目的在於傳送廣告,應涉及谷歌廣告流量詐騙的問題。不過,有關木馬過往有被改作下載不明程式,甚至攔截短信等紀錄,因此,這次木馬仍然是十分之危險,基本上,不應該在AppGallery下載任何遊戲,以策安全。華為AppGallery已下架的遊戲,都可以視為被木馬所感染,立即刪除對自己最有保障。
其實華為AppGallery的主要問題,一如其他中國公司,可以因內部貪污,或有員工的貪念,甚至中共的指令,縱容一些安全上有問題的程式上架。華為位處沒有法治的中國,用戶一般難以透過法律程序向華為索償,如果有關程式是在中共指令下上架,你就根本不用指望有關程式會下架,或推出移除木馬的版本,所以你不能夠指望AppGallery具備與蘋果App Store,或者谷歌Play Store一樣的安全水平。這不只是華為企業文化的問題,也是中國體制的問題,中國不可能有真正的網絡安全,因為中國當局慣性利用黑客對人民作出監控,網絡安全最大隱患來源,正正是中國政府本身。
問:對於使用華為手機的聽眾,你會有甚麼建議?
李建軍:最徹底的方法,當然是不再使用華為手機,因為當製造商本身對應用程式商店缺乏應有安全監管的時候,使用外資廠商,有Play Store的Android手機,或蘋果的iPhone是最好,至少蘋果或谷歌兩間公司對程式會有安全監管。
但如果你未能停止使用華為手機時,避免在AppGallery安裝遊戲,刪除所有由AppGallery下載的遊戲,是最低限度的安全措施。因為除了俄國資訊安全公司提及的木馬外,可能還有其他木馬出現於遊戲之中,而遊戲一直都是黑客熱門用作發放木馬之用的途徑。
如果你可以有第二部手機,華為手機應該只用於公務用途,私人或敏感內容應該用另一部手機處理,因為華為手機連AppGallery都可以有問題,作業系統的設計等等,就只會更多「匪夷所思」的問題。因此,只有一些無傷大雅的資料情況下,才適合使用華為手機。不然的話,都應該假定華為手機和AppGallery的應用程式都是不安全,甚至比一些來歷不明的APK程式更加差。
問:如果在一些連敏感和私人內容都要使用華為手機的情況下,又可以怎麼辦?
李建軍:由於中國當局實施手機實名制,你可能要面對一些無可奈何的情況,唯一可用的手機就是華為手機。在這種情況下,就一些私人或敏感話題,除了盡量使用點對點加密通訊軟件外,在進行通訊時,還要定期更換的代號,迴避中國當局的監控,以及檔案使用加密方式傳送,避免直接傳送照片等等,都有助減低華為手機的不安全對你造成的影響。
當然,儘快更換手機,是徹底解決問題的唯一方案。只不過,當局有可能以一些匪夷所思的做法,迫你非用華為手機不可,因此,使用代號,在手機進行加密檔案傳送,這些技術都有需要學習。另一個方法,就是盡量使用電腦或平板電腦通訊,因為電腦或平板電腦可以提供比較多樣化的工具進行加密,亦可以選擇比較安全的程式。在這種情況下,手機就完全不用作任何私人或敏感用途,雖然會比較麻煩,但這仍然是保障自己私隱以及安全的方法之一。