問:根據加拿大多倫多大學「公民實驗室(Citizen Lab)」的一份研究報告稱,每一位參與北京冬奧工作人員和運動員都必須安裝的手機應用程式「冬奧通」,存有嚴重安全漏洞,並擺明車馬安裝了一個敏感字列表,用作審查工作人員和運動員言行。國際奧委會聲稱程式經過蘋果以及谷歌的保安審查,為何蘋果和谷歌會容許冬奧通這類程式上架?
李建軍:雖然對大部分商用程式,蘋果和谷歌都會從嚴把關,但對「冬奧通」這類程式就完全另一回事。因為「冬奧通」這類程式,後面有國際奧委會之類大型機構撐腰,又具有冬奧官方應用程式的身份,而且這類應用程式,實際只在冬奧期間使用,隨後會被刪除。因此,谷歌和蘋果為避免得罪國際奧委會以及中國當局,對程式的問題「隻眼開,隻眼閉」亦很正常。特別今年冬奧氣氛如此淡,相信實際會下載有關應用程式的人並不多。
問:「公民實驗室」發布的研究結果,是否代表之前荷蘭政府要求工作人員和選手,到北京參賽期間不要帶個人手機及電腦,屬正常的做法?
李建軍:相信荷蘭政府部門,做了類似多倫多大學「公民實驗室」的研究,才會作出結論,要求運動員攜帶使用新手機,以策安全。因此,在必須要安裝中國當局所寫應用程式的場合,有關手機是不可作其他用途或儲存敏感資料﹐亦應成為常識。因為幾乎可以肯定,中國當局所推出的程式,都必然有敏感詞過濾表,以及將你的個人資料傳到不明來歷地方等可疑功能。
問:根據「公民實驗室」的研究,「冬奧通」的加密通訊並不完整,所使用的數碼證書亦有問題,在現代社會許多大機構的官方應用程式,這種錯誤理應都不被容許,為何這種情況會出現在有眾多重要人物出席的冬奧會場合?
李建軍:在正常情況,應用程式的數碼證書必須妥為認證,由有公信力的機構發出,令應用程式可以安全運作,免受第三者攔截資料。但中國的情況比較特別,中國當局有可能需要由一些神秘部門出手去攔截資料,所以一些日常程式保安設計的常規,反過來變成中國當局偷取目標人物資料的障礙。因此,中國當局所推出的官方應用程式一樣十分之危險,與中國當局故意留有後門作監控之用的不良做法有關。大部分官方應用程式都可以假定是安全,只不過,中國的情況就肯定是例外的。
問:中國當局既然會利用官方應用程式進行監控,那肯定需要一部專用手機去運行這些應用程式,那使用專用手機時,又有甚麼要特別注意?
李建軍:首先,專用手機不能連接家中的Wi-Fi,特別如果你的家中Wi-Fi長期連接VPN翻牆,就更不能連接,因為你並不清楚那些官方應用程式,到底會收集甚麼資料。因此,專用手機只能用流動電話的公共網絡。這或許要花費一點費用,但在保障家中網絡安全的角度,這一丁點費用仍然是值得付出。
另一方面,你的專用手機絕對不可以儲存任何敏感資料,唯一用途就是執行各式各類的政府官方程式。為免當局用相關手機作監控用途,你應該買一些可以拆電池的手機,平常不用時拆除電池。如果買不到可拆電池手機,就不應長期充電,要用時才充電,以杜絕應用程式內置錄音功能,在神不知鬼不覺靜靜錄音的問題。除了要掃 QR Code等場合,平日用膠紙封相機鏡頭以策安全,定時定候徹底清除手機內容,重裝相關應用程式。總體而言,這部手機是少用為妙,所以一些比較舊的手機反而適合用作專門執行不安全的官方應用程式。