問:在上週翻牆問答提到,WoSign的數碼證書被Mozilla認為不安全,Mac用家可以自行不承認有關證書,但iOS用家,就沒有任何工具拒絕WoSign的證書。而蘋果都公布了即將對WoSign證書會採取的行動,能否介紹一下?
李建軍:蘋果決定跟隨Mozilla的做法,不再承認WoSign透過Startcom以及另一間公司發出的中介證書,在Mac,將於十月中推出的保安更新,就會一併將WoSign的證書列入黑名單。而在iOS,就將會在最新的iOS更新中,刪除對WoSign證書的信任。換言之,只要iOS用家在十月中及早更新作業系統,就不會再受 WoSign不安全的證書影響。
問:有報導,新iOS 10的瀏覽器私密瀏覽功能,有可能洩漏用戶利用私密瀏覽功能期間所瀏覽的連結紀錄。這保安漏洞是怎樣一回事?用戶有沒有什麼可以做,預防自己的私隱外洩?
李建軍:由iOS 10開始,在私密模式下的瀏覽器暫存檔,以及歷史紀錄仍然一如往常完全消毀,但有少量的歷史紀錄會儲在一個特定資料庫,黑客如果取得你的iPhone或iPad備份,就有可能透過特定工具,分析備份中的資料庫檔案,而知道你瀏覽過的東西。
因此,iOS設備的備份,必須妥善保存在適當位置,防止黑客可以偷走你的備份,如果你有用iTunes以外軟件,替你的iOS設備備份的話,那你應該刪走存於那些非官方軟件的備份,並停止再用這類軟件備份iOS設備。不少中國聽眾都有用由中國公司所推出的非官方軟件備份iPhone或iPad,這是極之壞的習慣,這有如將大門開給中國黑客甚至政府一樣。iTunes在Windows的版本已經相當易用,而且功能強大,並不需要任何非官方軟件去輔助備份,不單浪費金錢,而且相當危險。
問:不少聽眾都希望在iOS設備上用Tor,但現時App Store機制下,甚少開源軟件會可以在不用越獄下運作,請問iOS用家,有沒有機會不用作越獄的情況下,可以用Tor翻牆上網?
李建軍:現時蘋果已經容許Tor瀏覽器上架,而大部分瀏覽器都是收費,但價錢相當廉宜,大約八元至十五元港幣,這是大多數人可以負擔得起的價錢。由於透過App Store來安裝,不單不用越獄,而且安裝相當簡單,幾乎只要做好網橋的設定,就可以立即翻牆上網,瀏覽你想看的網站。這次翻牆問答,會在視頻示範如何下載和設定iOS版的Tor瀏覽器,歡迎聽眾瀏覽本台的網站收看。
對於中國聽眾而言,在iOS上使用Tor有三大挑戰,一方面,如果你的Apple ID被設定為中國大陸,有機會無法下載Tor瀏覽器,因此,聽眾有需要準備一個有言論自由地區的iTunes儲值咭,再配合一個香港註冊的Apple ID,透過香港戶口購買軟件。
另一大挑戰是你可能找不到網橋,雖然現時iOS的Tor瀏覽器已經支援obfs4的網橋技術,絕大部分情況下,都不需要自行輸入網橋IP,但用戶仍然要有心理準備,一旦obfs4失效時,要以手動輸入方式,將可以用的網橋IP輸入設定之中,以便接駁Tor網絡。
而iOS買Tor瀏覽器時,小心個別以漢語拼音姓名的開發者,雖然蘋果會對每一個App的申請嚴加審批,以免保安上有任何漏洞或後門,但這些開發者背後的公司,往往都持有ICP牌照,令人擔心這些開發者會否與中國當局合作,暗中在軟件中附加不必要的元件,而最穩妥的做法,就是向西方國家的開發者購買軟件,相對上的保障,亦會比較大。