冬奧軟件爆安全漏洞
前期本欄談到電訊供應商、手機平台、手機製造商大量收集個人資料,當然還有軟件開發商。軟件開發商深明人多使用及得到使用者資訊的價值,以各種方式威逼利誘讓更多人安裝,安裝時又要求大量授權,當閣下同意之時,軟件商自然對你的資料取之不饜,更甚者盜取你的敏感資料然後轉售。有些情況就連不安裝的選擇也沒有,中共就規定所有參與冬奧者必須安裝指定的軟件。根據加拿大多倫多大學公民實驗室研究報告顯示,中共冬奧應用程式存在嚴重安全漏洞,檔案及語音錄音能夠輕易被截取,加密通訊並不完整,軟件未能核實數碼證書,軟件收集敏感個人資料例如護照詳細資料醫療記錄行蹤,而且安全漏洞令這些資料有外洩風險。軟件還設政治敏感內容舉報功能,且含有審查關鍵詞列表,直指軟件違反谷歌政策及蘋果指引。中共一貫否認,並稱軟件通過谷歌及蘋果手機平台審查,追蹤用戶訊息是作為奧委會申報的合法行為,舉報政治敏感內容功能是開發商的問題,安全流動已經修正云云。主要西方國家提醒運動員不要帶個人手機及電訊設備到中國。安裝一個不良軟件,足以影響整部手機安全性,甚至將其變成隨身監聽監視器。
每個授權都牽涉私隱
事件有多處值得思考。上述安全漏洞及認證問題屬低級錯誤,出現在國家級別的軟件,實在另人生疑。軟件商是按照要求編寫程式,編寫牽涉成本,沒有提出要求又怎會額外加料?若果真的是軟件商額外加料,那就是軟件商自我審查以符合中共各種各樣的法規要求,引伸出整體中國軟件商的信譽問題。即使Apple Store 及Google Play 平台認可亦不代表軟件安全,軟件專家已多次揭發這些平台上軟件含有木馬程式,讀者可在網上查找。即使軟件完全沒有技術安全問題,安裝時的每一個授權都令人擔憂私隱。一個看似無傷大雅的授權,例如取得你的聯絡人讀取權,就可看到及收集你聯絡人的資料,即使你聯絡人沒有任何資訊,總有你的朋友將你的電話甚至其他資料存放。一個可查看你安裝軟件捷徑的授權,就可分析你已安裝的軟件,絕對有啟示性。假以時日,軟件越多人安裝,收集數據充足,就可對你的身份、社會地位、工作性質、喜好習慣、家庭狀況、健康狀況、信仰價值觀政治傾向等作準確推斷。極權不容許人民選擇通訊軟件,間接強迫在外親友使用其通訊軟件才可與國內親友聯絡,安裝該軟件又要大量授權,對個人資訊私人的威嚴讀者自己判斷。
使用軟件考慮五大因素
所以在手機上安裝任何軟件都要非常審慎,使用軟件之前請考慮五點。其一,盡量不安裝軟件,若有選擇,直接使用網上版本。很多人貪一時「著數」便安裝軟件,世界上並沒有免費午餐,你隨時將自己私隱及重要資料雙手奉送。其二,安裝任何軟件之前必須查清楚軟件開發商的底細,未能查過水落石出,切勿貿然安裝。軟件的用家評分、下載量、取得甚麼甚麼認證,都不是軟件可信度的參照。受中共法規支配的企業必須向中共交出所有收集的資料,相關軟件能不能安裝,讀者心裏有數。其三,一定要看清楚軟件要求的權限,尤其是一些要求敏感權限的,例如手機識別身份資料、通訊錄、位置等。有些軟件微信便要求給予下載檔案而不需通知、更改系統設定等權限,這些授權幾乎等同無限權力。其四,若果有選擇請利用開源軟件,即程式是公開,任由用家審查。多國類似「安心出行」的應用程式均是開源軟件,特區政府以知識產權為由拒絕開源,這樣你只能對開發者宣稱的安全性選擇信與不信,無法驗證。其五,檢視已安裝的軟件,並停止可停止的授權,包括位置、聯絡人、短訊、鏡頭、帳戶相關、存取儲存等。此舉只能酌量減低風險,因為當你安裝軟件之後,可做的已非常有限,還有一大堆授權根本沒有停止的選項,你亦無法得知這些軟件在授權下做了甚麼。
在沒有選擇而必須安裝軟件的情況下,一如冬奧參與者,就應使用一部沒有任何個人資料的「可燒毁」手機(burn phone),這部手機不作其他用途,在完成程序後徹底燒毁資料。◇
------------------
📰支持大紀元,購買日報:
https://www.epochtimeshk.org/stores
📊InfoG:
https://bit.ly/EpochTimesHK_InfoG
✒️名家專欄:
https://bit.ly/EpochTimesHK_Column
