TEMU被指是最危險的軟件
一個爆竊積犯,拿着一大堆可用作爆竊的工具在你家門口鬼鬼祟祟,他未出手你亦會採取行動保障自身及家宅安全。面對那些帶着各種工具及權限可取得你個人私隱的軟件,你又會否採取同樣審慎的態度應對?上周,GrizzlyReport推出研究報告,指拼多多旗下在美國的電商平台TEMU軟件是處心積慮設計並蓄意隱藏的惡意程式,下載量已超過一億,警告TEMU是最危險的軟件,並對美國國家安全構成威脅。報告指TEMU的開發團隊有過百人來自拼多多軟件,之前拼多多軟件被谷歌Play Store以侵犯私隱為由下架。報告聘用大量獨立資訊安全專家,非常深入拆解TEMU軟件的編碼,指出軟件內含一系列最具攻擊性的惡意入侵性特徵,包括多個隱藏功能可以在用戶不知情之下,截取大量資訊,而且擁有的權限幾乎可擷取手機內的所有資料,又列證據顯示軟件花功夫刻意隱藏其惡意入侵性。筆者建議讀者在網上閱讀該報告。當然有人質疑報告方主要業務是提出沽空建議,可能有益衝突。但技術層面的分析基於程式編碼,專業人士作出同行評審。若連技術層面指控亦缺乏事實根據,等同自毁信譽。TEMU及相關公司一概否認指控,並稱軟件仍在官方架上云云。
認識軟件的「紅旗」
報告列出TEMU軟件有18道「紅旗」,對控制裝置功能及入侵用戶私隱,比起分別各有9道「紅旗」的TikTok 及10道「紅旗」且被美中經濟與安全審議委員會點名的Shein,TEMU惡毒程度令兩者望塵莫及。即使你不使用這些軟件,亦應對「紅旗」有所認識。筆者在這裏抽數個關鍵的「紅旗」解釋一下。第一個是runtime.exec(),即編製執行程式。連同其它編碼,軟件可接收加密編碼,然後編制成執行檔案在手機執行,單是這個授權可令軟件進行任意行為。一個普通軟件極不可能需要這個功能。另外一個是讀取系統紀錄檔,系統紀錄檔詳細記錄使用者動作及執行資料,取得檔案就可以追查你的一舉一動。擁有索取執行軟件清單的權限,就可掌握你的個人喜好、習慣、財富所在、政治傾向等,若你安裝了一個極特殊的軟件,還可對你的身份作出推測。上述加上擷取畫面權限,還可利用作擷取輸入帳戶及密碼資料。MAC是裝置唯一識別碼,讀取裝置MAC且上傳伺服器,就可用作追蹤及針對性攻擊。使用鏡頭、錄音及位置從來都是危險的權限,TEMU沒有功能需要使用麥克風卻要取得權限,令人生疑。將上述權限加疊,軟件簡直可以為所欲為。再看軟件開發人員的前科及企業的背景,危害美國國家安全的指控並不為過。
安裝軟件要極度審慎
事件再次突顯軟件的危險性。安裝軟件只是按一個鍵,商家甚至提供各種誘因,但務必三思而行,裝了危險軟件不但害己,而且會累及家人朋友。安裝軟件宜採取下列策略。首先將安裝的軟件減至最少。所有網上能處理的應避免安裝。軟件儘量選用開源,其餘的必須查清楚其底細。軟件提供者的實際控制人及其所在地是重要考慮因素。不能假設軟件在官方平台的就是安全保證,一來官方平台多次出現問題軟件,二來平台以告知為主,某某軟件需要某某權限,風險閣下衡量。請利用上述18道「紅旗」衡量軟件的風險,若有任何跟TEMU同類的超高風險權限,不要安裝。其餘的請閱讀軟件私隱政策,同時衡量軟件的功能與權限是否合邏輯,披露文件含糊其辭亦是「紅旗」。現時兩大手機平台均提供中央管控部份敏感權限,包括鏡頭、咪高風及位置。這些權限應時刻保持關閉。任何軟件使用這些權限必須每次先徵得你同意。由於手機的連繫性,即使自身如何注重安全,出賣你資訊的很可能是「豬隊友」,所以要留意對方是有否安裝這些極高危的軟件,在資訊交換時採取風險管控。取得這方面的資訊有一定困難,從與對方閒談及提出相關話題可作出推論。
本欄接連拆穿那些使用SDK、不良手機品牌預載臃腫軟件及危險軟件如何威脅你的資訊安全,相信讀者已得出一幅大圖畫。極權及其控制地域的企業正以各種手段,不分地域入侵個人私隱,安插監控,隨了自身做足功夫,還要協助身邊的朋友遠離陷阱,才是有效的策略。 ◇
------------------
🗞️9.17暫別實體 立即預購
https://bit.ly/buybyepaper
🔔下載大紀元App 接收即時新聞通知
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand
