木馬程式為所欲為
智能手機儲存大量個人資料,加上其建立的關聯網,早已成為不法分子及極權控制的對象。前周,網絡安全及科技安全調查科公布去年展開「幻焰」行動,按國際刑警提供線報指有木馬程式被裝載到受害人手機,涉及500多部非本港人士手機及近258個伺服器,當中近2百個伺服器位處香港,已經被成功移除,但全數登記人士屬境外,暫未有人被捕。這次受害人有幾個特徵,包括手機是安卓系統,利用假冒銀行、媒體播放器、相機、交友應用程式等,假冒官方機構發出短訊,誘使受害人到釣魚網站下載安裝檔案等等。安裝軟件後用戶輸入個人資料,檔案內的木馬程式便偷取手機系統資料、通訊錄、短訊、通話記錄、圖片庫、定位等,甚至可透過程式控制手機,啟動即時錄音及錄影等。針對木馬程式風險,網罪科建議市民切勿下載來歷不明的程式,所有程式都應由官方渠道下載,安裝程式時不應給予過多權限,留意手機耗電量及監察網絡流量有否異常增加,經常更新系統及流動應用程式至最新版本及使用防毒軟件云云。問題是這些招數防治木馬程式的成效有多少。
官方軟件 有齊「木馬」功能
事實上「木馬」又豈限於惡意程式。即使你不安裝任何程式,「木馬」可隨手機出廠時預載。早前已有廣泛報道中國中低檔的手機品牌預載木馬。愛丁堡大學研究發現中國三大熱門智能手機One Plus、小米及OPPO Realme手機預載的應用程式泄露用戶個人資料及構成嚴重的追蹤風險。使用預載木馬的手機沒有資訊安全可言。所謂安卓「官方」的下載渠道即Google Play。已有大量報道架上有軟件含木馬。西方國家亦已廣泛報道中共企業字節跳動旗下的TiK ToK就是木馬程式,內嵌聲稱未被啟動的鍵盤監察功能,收集用戶資訊中國人員有存取權。安心出行早前亦被揭發有人面識別模塊,聲稱未被啟動。這些監控功能何時啟動用戶並無話語權。免費的VPN過半數由中共企業控制,早已被證明安全漏洞百出,安裝等同接受開發者的監控。上述軟件均在官方平台上。控制權限不能幫你,因為可控制的權限只屬少數,而不能控制的可以非常關鍵,還有軟件的追蹤模塊你無法控制。讀者可到這個專門針對安桌軟件的核實平台https://reports.exodus-privacy.eu.org,查一查私隱審查結果。Tik Tok有5個追蹤模塊及76項授權,WeChat有2個追蹤模塊及68個授權。至於大部份人使用的Signal則沒有追蹤模塊但亦69項授權,當中亦有不少敏感授權,但根本分別是Signal是開源軟件,專業人士可追溯軟件實際功能。
改變習慣控制風險
可見手機資訊安全問題大部份問題源自安裝軟件,所以最有效控制風險的方法是改變習慣。首先是大幅減少安裝軟件。不少人安裝軟件都是短期需要,又或是被優惠誘使。其實手機平台的基本功能已經非常強大,筆者手機內額外安裝的軟件只有幾個,包括VPN、即時通訊、安全的瀏覽器等。不裝軟件絕大部分情況可利用直接上網處理。其次是手機不是生產及儲存個人資料地方,應回到電腦加密處理相關資料。太多人貪方便利用社交軟件拍攝、收發敏感個人資料,軟件將資料儲存手機內存,便成為木馬對象。若別無選擇需要安裝軟件,先考慮以下各點。因為你已選擇相信手機平台,應先查看手機平台開發商有否你需要的軟件。其次是查看是否有開源選擇。再其次是查清楚開發商的底細,而且必須查到底,開發商的背景及是否受極權控制是決定性因素。當你決定要安裝軟件時,若果你手機有足夠資源,應設立多個賬戶,利用沒有管理權限的帳戶安裝,必要時將軟件分開帳戶處理,可避免資料互通。風險較高或政權強迫安裝的軟件,應使用「乾淨手機」,內裏沒有SIM,沒有其他資料,不使用軟件時關機。安裝這類軟件時應使用外部Wi-Fi,不能連上家中或辦公室網絡,先裝免費的Proton VPN,且停止讓手機進行Wi-Fi掃瞄,以防泄漏私隱。
維護手機資訊安全絕不簡單,裝一個軟件就可令不法之徒及極權達致目的。很多官方認可的軟件有齊木馬的特性,木馬何時現出真身防不勝防。理解風險所在,改變個人習慣才是控制風險的王道。◇
------------------
📰支持大紀元,購買日報:
https://www.epochtimeshk.org/stores
📊InfoG:
https://bit.ly/EpochTimesHK_InfoG
✒️名家專欄:
https://bit.ly/EpochTimesHK_Column
