惡意軟件可以很簡單
由於對手機的過份倚賴,現代人沒有手機萬萬不能。與其說是倚賴手機,其實更正確的說法是倚賴手機上的軟件。先看兩則新聞。據Simform調查所得,擁有智能手機的人平均安裝了40個軟件,但九成使用時間卻用在少於一半的安裝軟件上。另一則新聞,臉書上周發出警告,有近400個惡意軟件專門偷取臉書密碼,且可在Apple Store及Google Play下載,百萬用戶受到影響。大部份這些軟件都是利用相片編輯、遊戲、健康跟蹤、電筒、VPN、掃描Barcode QR code等作包裝,當中以相片編輯最多,佔43%。騙取臉書密碼後,騙徒偷取個人資料,下一步就是向帳戶的聯絡人行騙。臉書建議用戶安裝軟件前留意不提供個人資料時的功能是否大幅受限及看看用家評論云云。簡單的兩件新聞就有不少洞見。超過一半的軟件於安裝後幾乎沒有使用,極可能是一時需要或衝動而安裝,而非長遠需求。經過兩大平台審查上架的軟件並不一定穩妥,原因很簡單,因這些軟件既沒複雜性亦沒隱藏性,直截了當叫用家輸入資料,被視作為用家授權,完全是願者上釣,防毒軟件亦無能為力。其實用戶可能沒有清楚了解手機作業平台提供了甚麼麼功能,例如相片編輯、電筒、QR掃描器等早已預載。如果平台太舊沒有這些功能,為了個人資訊安全是時候更換手機。
「惡意」何止偷取密碼
用戶評論或評分並不可靠,一來用戶很多都不是專業,沒有對軟件進行深入分析,二來評論評分可以造假。最明顯的實例就是免費VPN軟件,下載量以千萬計,正面評價大有人在,但經專家仔細分析後發現大部份些軟件由中國企業控制,用家行為被監控之餘軟件亦存在多重風險漏洞,手機隨時被騎劫。其實「惡意」的範圍有豈止如此。是凡監控你的行為,未徵得你的同意收集任何資訊,要求不必要的授權,沒有加密處理資料,將資料傳至極權國家的伺服器,都應視作惡意軟件。還有不少「半惡意」的情況,就是在你同意及授權之下收集你的資料,用作與服務無直接關係的用途。安裝軟件要客戶按一個「同意」鍵,相關的合約或披露可能是幾十頁,絕大部份用戶都不會閱讀,當中更隱藏大量細節。既然用家同意,軟件就可為所欲為。另一類「半惡意」就是有安全漏洞卻不更新。更新軟件涉及資源,不是所有供應者願意投入,尤其是非付費又不太熱門的軟件,讓這些軟件繼續運作等同引狼入室。即使軟件沒有惡意,完全不蒐集資料的軟件極少,軟件越多被蒐集的資料就越多,資料洩漏機會越高。
採取有效方法控制風險
事實上,大部份惡意軟件不是用家可簡單辨別,對用戶的影響亦未必馬上浮現。筆者建議採取以下措施應對相關風險。首先請記著任何軟件一經安裝,可以即時造成損失而且難以補救,所以安裝前請三思。很多軟件提供的服務務大部份可以用電腦版登入替代,而電腦較易控制風險。以筆者經驗,需要額外的軟件通常少於十個 。筆者安裝的軟件只有數個,VPN、即時通訊軟件、電郵軟件及一個虛擬瀏覽器,全部軟件經過查核,安全度度極高。被強迫安裝的軟件,筆者用另一個手機「招呼」它們。若你需要安裝任何工具軟件,請先查一查作業平台供應商有否同類軟件,因為你已經選擇相信手機作業平台,額外風險較低。其次是選擇開源軟件,並查看授權是否合理。安裝任何軟件前請查清楚其底細,不能以一般用家評論或評分作準。若果資料不明確而又一定要安裝,建議用不同的手機又或另外一個帳戶處理。即使Google Play及App Store不是百分百安全但仍然經過一定審查,除非你是專家,避免安裝任何兩者以外的軟件。請你檢視已經安裝的軟件,將不需要的軟件全數移除。
Android 11或以上的請於安裝軟件時開啓限時自動移除權限功能,iOS 11或以上請在設定開啓自動Offload,保留軟件用家資料但限時移除軟件。若果軟件的最新版本已經超過一年,建議馬上移除,尋找替代。
太多人覬覦你手機內的敏感資料,而最簡單方法就是利用軟件。在安裝之前,請再三確定你必須這個軟件,而且弄清其底細,寧缺莫濫!◇
------------------
📰支持大紀元,購買日報:
https://www.epochtimeshk.org/stores
📊InfoG:
https://bit.ly/EpochTimesHK_InfoG
✒️名家專欄:
https://bit.ly/EpochTimesHK_Column
