問:之前的翻牆問答,已經告誡聽眾不能信任國內電訊運營商,不建議使用短信作二步認證之用。近日伊朗當局派出的黑客,被發現出新招,就算是透過海外電訊公司的網絡以短信進行二步,認證號仍然會被黑客攔截。能否介紹一下具體情況?
李建軍:在之前的翻牆問答中所介紹黑客偷取二步認證短信招數,必須有電訊公司配合才成功,因為是在電訊網絡層面攔截二步認證所使用的密碼短信,而並非軟件層面去進行攔截。因此,我們解釋過,對在國內的人而言,因為使用的是中國國有電訊公司的網絡,透過短信進行二步認證就十分之危險。我們甚至分析過,香港的大部分電訊網絡也會隨著《國安法》的實施而變得不可靠。但如果你身在海外,基本上不會受太大影響。
但這次發現中,揭發伊朗當局所聘用的黑客透過向目標人物的手機加載有毒軟件,達致監控目的。黑客所發明的木馬程式,不但可以藉長期監視目標對象的手機短信收件箱,比當事人更快一步截取短信密碼,並且能偷走你的Telegram或其他相類程式的帳戶。有別於透過電訊公司偷取用戶的驗證短信,因為木馬程式神不知鬼不覺在被監控人的手機內部執行,所以就算使用海外的電訊網絡,都不保證百分百安全。因此,現時已不建議再繼續使用短信作為二步認證的工具;甚至用軟件來作二步認證工具,都不保證百分百安全——因為我們並不知道,透過這種木馬技術監控手機的最新手法,是否已經具備控制用作產生二步認證密碼的程式運作。
問:如何可以防止黑客透過木馬程式去突破二步認證的保護?
李建軍:當然技術上最一勞永逸的做法,就是使用硬體金鑰,因為要突破硬體金鑰的保護,就只要派人親身搶劫你手上的金鑰。只不過,並非所有網絡服務都支援硬體金鑰,主流的網站如臉書、谷歌支持硬體金鑰,但Telegram暫時未支援硬體金鑰。所以,硬體金鑰並不能夠完全解決伊朗人發明的木馬偷竊二步認證密碼做法。
針對未能夠改用硬體金鑰的網站或網絡服務,除了在可以選擇情況下,避免使用短信作為二步認證工具,更重要是不要胡亂進入可疑的網站、打開不可靠的電郵附件、接收不明來歷的軟件,以免黑客可以藉這些方式將木馬病毒安裝入你的手機。
即便是由中國政府或國有企業網站開發的應用程式,也應避免安裝在你用作執行二步認證軟件用的同一部手機上——因為伊朗同中國政府關係密切,中國當局可能已獲得相關木馬技術,並且將木馬同時寫入中國政府或國有企業開發的應用程式之中。如果你用作二步認證之用的手機,裝有中國政府或企業相關的應用程式,這其實是風險奇高的事。
問:使用防毒軟件,又能否防止有人在手機中安裝木馬,竊取二步認證密碼?
李建軍:用防毒軟件,的確可以查出你手機中有否有木馬。只不過,如果你用的防毒軟件為中國公司推出,恐怕沒有意義——這些防毒軟件公司有可能監守自盜,也有很大機會要接受中國當局指令,在防毒、殺毒軟件中不要視中國政府所編寫的木馬列為病毒予以清除。
就算用西方國家推出的防毒軟件,都要留意有關公司,有否選擇與中國當局合作,或者假定所有政府推出的應用程式都沒有安全問題。
總而言之,可以利用防毒軟件去協助你防止或偵測木馬病毒,但必須謹慎選擇軟件,以及不要完全依賴防毒軟件,去為你的手機作出基本防衛。防毒軟件有時候會為用戶帶來虛假的安全感,過於依賴反而會令木馬有機可乘。維持良好的使用習慣,提升自己的分析和判斷力,不要隨便進入電郵或短信上的可疑連結,以及避免安裝可疑或不必要的政府軟件,這些做法更為有效、更重要。
0:00 / 0:00