問:最近無論Mac還是iOS都出現重大保安漏洞,而這個保安漏洞很可能會危害不少異見人士安全,必須即時對Mac或iOS作業系統作出更新,到底這個保安漏洞到底有多危險,而更新了作業系統,又是否安全?
李建軍:這次由開發賽風的多倫多大學公民實驗,聯同美國一間網絡保安公司發現,以色列政府利用Safari的一個漏洞,可以在iOS和Mac植入間諜軟件,監視阿拉伯社運人士的活動。蘋果在接獲有關報告後,先更新iOS到9.3.5版,再對Mac的10.11和10.10兩個作業系統發出緊急更新。iOS用家可以用iTunes或系統內置的更新功能更新,而10.10和10.11就可以透過Mac App Store的更新功能更新,而系統亦會主動提醒用家更新。由於這保安漏洞用家並非一般黑客,而是政府,因此所有聽眾應立即更新,以策安全。
之所以Mac和iOS同時會出現危機,Mac和iOS雖然中央處理器的硬件上截然不同,但很多核心技術和代碼都是一樣的。而這次受聘於個別國家政府的科技公司,偏偏以兩個作業系統的共同核心技術作為攻擊目標。因此,Mac和iOS都同時出現問題。而蘋果公司已經針對這個漏洞作出作業系統更新,暫時未收到任何有被再一個黑客技術入侵的報告。
問:那在Mac,又如何透過App Store去更新作業系統?李建軍:Mac與iOS最大不同的地方,iOS在系統設定上更新作業系統,或透過iTunes去更新作業系統,但Mac的作業系統更新部分,卻在App Store之內,在App Store有專門按鈕,只要你同意要重新啟動電腦更新作業系統,就會展開更新作業系統程序。
這次翻牆問答,有視頻示範如何更新作業系統,歡迎聽眾瀏覽本台網站收看。
問:不少網民都有翻牆使用Dropbox的雲端服務,只不過,Dropbox最近都傳出有大規模的保安事件,有大批用戶的資料庫流出,其中包括了用戶的密碼,會引發極大的保安風險,請問能否介紹一下?李建軍:Dropbox最近有六千八百萬用戶的密碼流出,這批密碼主要是2012年保安事故所流出的密碼,如果在2012年後有更新密碼,應不受事件影響。但如果你在2012年前登記Dropbox,而一直都未有更新密碼的話,就應儘快更新密碼,特別你有使用Dropbox的收費服務的話,就更需要更新密碼,否則的信用卡資料就可能會外流。
問:最近中國的數碼證書簽署者又發現有問題,有部分沃通所簽發的數碼證書發現有問題,請問能否介紹一下?如果遇上用沃通簽署的數碼證書,又應抱持什麼態度?
李建軍:最近有人發現,縱使個別人士向沃通申請個別附屬網域的數碼證書,但沃通竟然簽出適用同一網域所有附屬網域的數碼證書,而未核證過對方是否真的擁有其他附屬網域的控制權,GitHub以及美國一間大學因此受影響。這個保安漏洞最大問題在於,黑客會先申請個別網站的附屬網域,然後利用沃通的證書進行中間人攻擊,攔截其他網域的通訊,這種數據偷竊行為是黑客常用手段,相當危險。
因此,沃通所簽出的數碼證書,應該一如看待CNNIC的數碼證書一樣,視為不安全的數碼證書,不信任由沃通所簽的數碼證書。如果你打算申請網站數碼證書的話,海外有其他更實惠的證書簽發公司,不必冒保安風險使用由中國公司發出的證書,連中國的國有銀行都用美國公司所簽證書,反映中國的證書認受性之低。