【翻墙问答】USB设备及充电线可具入侵和监控功能

现时有很多利用USB充电的设备,例如夏天有不少朋友使用USB的风扇,有些人会用插USB的LED灯,方便在火车上阅读。只不过,现时有保安专家指出,这些USB设备,都很容易成为黑客入侵系统的工具,到底是怎么一回事?这些设备有没有与电脑连接的能力?

问:现时有很多利用USB充电的设备,例如夏天有不少朋友使用USB的风扇,有些人会用插USB的LED灯,方便在火车上阅读。只不过,现时有保安专家指出,这些USB设备,都很容易成为黑客入侵系统的工具,到底是怎么一回事?这些设备有没有与电脑连接的能力?

李建军:很多人都以为,USB风扇或USB LED灯,这些设备并不具备与电脑连接的能力,因此就不会成为入侵系统的工具。但有保安专家,将数年前由德国专家研究的BAD USB概念进一步研究,只要有很小晶片安装在USB线上,普通的USB充电线,都可以成为入侵系统的工具。而风扇、LED灯这些设备,他们有充裕空间安装电路板以至晶片,其实很容易被不法之徒利用偷取个人资料。特别现时晶片愈来愈小,就算苹果iPhone用的Lightning线,都其实内置一粒晶片,可想而知,这技术在硬件层面上是行得通。而随物联网发展,这些设备要连上网络亦轻而易举。

因此,不要随便乱接受别人送赠的USB风扇或LED灯,而相信在可见将来,这类具USB连接能力的小型电器,都可能要经过保安审核,证明这些电器的制造商,并无在设计上恶意加入连接网络的功能,才可以确保安全。有些以往碍于硬件制作水平无法成事的入侵,但现在变得相当可行,尤其在物联网兴起后,软硬件的支援更为先进,这方面不可以掉以轻心。

问:谈到物联网,近日有一间公司所生产的智能插座,被发现有保安漏洞,黑客可以透过智能插座随意遥远控制电器开关,如果智能插座被连接上家中Wi-Fi,更可以成为入侵其他系统的入口。其实物联网,会否意味著听众被当局监控得更容易,去到一个完全懵然不知的地步,因为差不多家中每一个开关都可以受到当局控制。

李建军:其实物联网在中国而言,很可能代表更进一步的监控,一如中国当局迫维吾尔人戴上特定设备和QR Code才能去圣城麦加朝圣的逻辑类似。中国当局甚至要达致类似监控目标,其实依靠国营电力公司和电讯公司合作已经可以,因为智能电表很大程度上将会连上互联网,而中国当局将会在智能电表上加上甚么功能,配合公安当局的监控动作,是十分令人担忧。而中国当局近年积极推广智能电表,除了节能以及改善电力系统可靠度外,会否涉及其他当局监控上的策略,民众所知不多,而以中国当局现时的态度,智能电表被用于监控异见人士和少数民族,都不会是一件令人感到惊讶的事。

因此,如果你本身有被监控风险的话,其实不大适合在家中搞智能家居,因为这些智能设备,一旦设计上有被当局知道的漏洞,或本身被当局派出的研究人员攻破,就会变成24小时全天候监控你的一举一动,以及偷你资料的设备,这著实是十分危险。而中国公司出品的智能家居设备和软件,与中国当局的系统连接可能性就更大,智能家居在有健全私隐法律,政府行为受到议会和传媒严密监督的国家,这为环保以及更舒适的生活作出重大贡献,但在独裁国家,这很可能为民众带来噩梦,甚至成为侵害民众私隐权的工具,因此,在可见将来,有可能被当局监控的听众,都很难享受得到智能家居带来的种种便利,因为可能会以你个人的安全和自由作为代价。