強迫使用又不負責
服務電子化是不可逆轉的大趨勢。電子化的目的理論上是提供便捷、更快、更安全的服務,但同時是商家將工序交給用家的手法之一,亦是趁機收集用戶資訊的途徑。若服務提供者處理不當,就可對用戶構成資訊安全風險。點餐就是個典型例子,以往是服務員替顧客下單,如今很多餐廳已改用掃QR,顧客可能要花點時間研究如何下單,錯漏閣下負責。掃描QR下單有各種風險,本欄較早前已經論述並提出如何應對。近日,某連鎖茶餐廳點餐安排引發新爭議,該餐廳規定客戶必須連上餐廳提供的不需密碼公用Wi-Fi,才能掃描QR進行點餐,登入Wi-Fi時列出20項使用條款,表明用戶須自行負上保護個人資料的責任,並對資料洩漏不承擔任何責任。部份食客之所以不滿,一來是下單又多了一個程序,二來是半強迫使用卻又要自負責任,再有就是擔心開放式公眾Wi-Fi容易泄露資料。餐廳的回應是由於管理系統升級,只是過渡安排云云。那為何有如此安排,筆者估計是QR連上的網頁並非公開,而是放在內聯網絡附接儲存(NAS),公共Wi-Fi是內聯網一部份,以致必須經指定Wi-Fi才可取得點餐頁面,再連至餐廳的廚房系統,但這做法並不尋常。
公共Wi-Fi風險多多
使用公眾Wi-Fi的風險,相信大部份人都可能低估。這些公眾Wi-Fi即使需要密碼,很多時密碼非常公開且不常更改,情況跟沒有密碼不遑多讓。當你使用這些WiFi時,若你不採取保護行為,你經過這個Wi-Fi的所有網上行為,可能被記錄及監控。連線時,你裝置的型號及MAC將被記錄,MAC是裝置的識別碼,當你再連線,系統便可利用MAC認出是同一裝置,若利用WiFi其它動作例如登入帳戶,就可能將MAC配對個人身份。同一集團或其他商戶可能使用同一Wi-Fi供應商,就有可能更大範圍收集資料,透過MAC識別個人習慣及行蹤。絕大部份人使用公眾Wi-Fi前根本不會看冗長的合約,當中可能有很多細節對你不利,例如不負責安全,收集你的資料及行為,分享給第三方甚至出售等。當你連上Wi-Fi後,若不刪除紀錄,裝置將會記著,你每次進入Wi-Fi有效範圍就可能自動連線,提供你的行蹤紀錄。即使沒有任何動作,你手機有大量軟件可能經過Wi-Fi在聯絡伺服器,使用甚麼軟件對個人有一定啓示。極權地區可利用公權力索取Wi-Fi紀錄,建立大數據監控使用者。另一方面,你不會知道使用同一網絡是甚麼人,若是黑客,他有能力發現及攻擊你的裝置。Wi-Fi連線協議有很多版本,部份已經過時,中間人就有機會竊取資料。
主動應對風險有法
今時今日使用公眾Wi-Fi難以避免,用家應採取風險控制措施。最簡單的方法是使用VPN。若你沒有VPN,建議將裝置先轉到一個訪客帳戶,並確保連線處https即加密傳輸狀態,避免所有敏感交易。利用公共WiFi請使用隨機MAC,請留意即使裝置作業系統已使用隨機MAC,連接同一Wi-Fi可能會使用同一隨機MAC。請到網上查找,啟動使同一Wi-Fi每次連接都使用不同的MAC,避開追蹤。以安卓系統為例,該功能需要在開發者模式內啟動。當WiFi使用完畢,應馬上斷開連線,並選擇刪除連線所有資料。請檢查你的Wi-Fi設定,停止自動掃描及自動連線功能。若你對資訊風險要求較高,你必須採取更高級別的手法,使用旅行或便攜式Wi-Fi路由器是其中之一。這些路由器體積細小,方便攜帶,而且可以使用普通USB移動電源。筆者利用開源軟件的旅行路由器,內有防火牆,使用隨機MAC,內裝VPN。旅行路由器不應露眼,個人裝置經這個路由器連接外部。這樣個人裝置不需更改任何設定,Wi-Fi提供者不能看到路由器背後的裝置,所有傳輸經VPN加密通道進出,任何攻擊亦要先過路由器防火牆一關。如外部Wi-Fi有任何蛛絲馬跡有安全隱患,可將路由器回復原廠設定,此舉比重設裝置簡單得多。
筆者不反對使用科技提高效率,但必須兼顧客戶消費者經驗及資訊安全。商戶若強迫消費者使用不安全的WiFi,最終只會令消費者轉到別處。◇
------------------
🏵️《九評》20周年
https://hk.epochtimes.com/category/專題/退黨大潮
🔔下載大紀元App 接收即時新聞通知
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand