【翻墙问答】大陆产廉价手机预装后门 用户无辜成黑客人盾

2021.01.08
【翻墙问答】大陆产廉价手机预装后门 用户无辜成黑客人盾 2021年1月6日,台湾大哥大宣布,鉴于资安防护问题,召回旗下的「Amazing A32」手机,进行安全性软体升级。「Amazing A32」是台湾大哥大授权台湾厂商「力平国际」委托中国厂商华珑公司代工。
台湾大哥大官网截图

问:一直以来,二步认证手机短信遭拦截成为不少人的困扰。台湾警方近日更查出有智能手机厂商,在作业系统出厂时,便「附赠」协助拦截认证短信的功能。究竟台湾发生了甚么案件,揭露了个别手机厂商的恐怖之处?

李建军:台湾警方在揭破一宗骗案中,发现台湾大哥大其中一款委托一间渖阳公司生产的廉价手机中,藏有可以让歹徒拦截认证短信的代码,令大批购买了这款手机的老人家成为了歹徒的人头帐户,协助骗取游戏点数而懵然不知。现时台湾大哥大公司要与其他公司合作,修改有关手机的作业系统,删除可以让歹徒拦截点数的部分,希望新版作业系统,能够令用家安全使用。

问:其实廉价手机有很多都是用Android作业系统,为何这些手机,居然被不法之徒安装拦截认证短信软件而未被察觉?

李建军:Android作业系统有两部分,一部分是含有谷歌专用程式,那些谷歌专用程式,像YouTube、GMail都是谷歌拥有知识产权,厂商如果无谷歌授权是不可以随便预载这些软件,例如华为就是因为美国政府的禁令影响,谷歌不可以向华为发出授权,让华为手机预载谷歌软件。但Android作业核心部分,却是开放源码。每一间公司,都可以在网上取得源代码并在加以修改后,用于自己生产的Android手机之中。华为之所以在禁令下仍得以继续维持手机部分运作,也是因为这个特性。

而有部分小厂又或是中国政府指挥下的特定公司,一如华为一样,以Android开放源码部分做基础,在出品中加上自己的代码或软件商店。这些小厂由于没有甚么商誉上考虑,因此够胆在手机植入木马,偷窃用户资料,甚至与犯罪组织分享,其中有些还可能是政府行为。像华为、小米一类大公司,实在承担不起被其他国家政府发现代码有问题的商誉损失,中共未必敢指令这些大公司胡作非为,但小公司可能只有中国或一些发展中国家市场,因此他们便敢做一些大家想像不到的事。

问:要避免自己的手机一买回来,就是黑客的工具,有甚么方法防止?

李建军:首先,买手机不应买细厂产品,也不应买中国公司的产品,买电话必须是外资大公司的品牌,因为大牌子在基本资讯保安上一般做得比较好,但细厂有不少山寨形式经营,并不会将用户的安全放在眼内。

问:用户能否透过留意不寻常数据用量,达到预防这类手机预装入侵软件的怪事?

李建军:这招是行不通,因为你无法确切得知,你的手机正常用量是多少。如果你的手机是后来被入侵,你能够通过发现一些突然的数据流量或电力使用变化。但这次是你的手机,当你买回来那一刻已经预载拦截软件,所以要发现异常流量,其实是十分之困难。这亦是出这一招的黑客狡猾的地方。因此,避免买由小厂出品的手机,那是唯一方法。

问:大型电讯公司委托一些小厂所生产的手机系列,是否也要避之则吉?

李建军:这次台湾大哥大被发现大规模安装了拦截软件的手机,正正是台湾大哥大这间电讯公司所推出的廉价手机系列。这类手机以廉价招徕,所以不顾及用户的安全亦非个别事件。而中国三大电讯公司都是国有企业,情况只会比台湾这次案例更离谱,所以一般听众在中国,都不应买电讯公司自家牌子的廉价手机,因为这类手机碍于生产成本问题,以贱价方式委托小公司生产,小公司为了更高利润,与政府以及犯罪集团合作来弥补手机价钱低残的损失,那是不令人意外的。因此,对太廉价的智能手机,一般人应该持观望态度,因为手机生产商并非慈善企业,他们仍然要赚你的钱。

新增评论

请将评论填写在如下表格中。 评论必须符合自由亚洲电台的 《使用条款》并经管理员通过后方能显示。因此,评论将不会在您提交后即时出现。自由亚洲电台对网友评论的内容不负任何责任。敬请各位尊重他人观点并严守事实。