問:近日不斷傳出,有中國的手機及政府的稅務程式,含有一些無法移除的後門。這些後門有甚麼用途?會對一般用戶的安全,構成甚麼威脅?
李建軍:中國的手機被曝光留有後門,已非新鮮事。去年,華為美國首席安全官安迪·帕迪(Andy Purdy)就曾承認「中國有能力在所有人的產品上安裝後門。」至於一些中國的應用程序,譬如政府的稅務程式,多數有一些安裝後一至兩小時才會悄悄下載的後門程式,這些程式通常會取得相當高的權限,絕大部分這類後門都是想在你的電腦中取得資料,然後傳給政府或個別企業。其中少部份這類後門的目的是用作網站廣告的詐騙點擊,甚至偷你的設備處理器運算力來挖礦。
無論最終目的為何,這類後門都明顯會對你的私隱構成威脅。
問:為何中國的手機或程式,一而再,再而三出現各類後門?
李建軍:一方面,中國不少資訊科技企業,習慣了藉詐騙點擊,以至偷竊運算力挖礦等來提高它們本身的利潤水平,它們並不認為透過後門偷竊個人私隱有問題。但更大的問題在於政府。中國當局利用這些後門,作為監控外商業務,甚至搜集情報的工具。政府使用後門程式,這對網絡保安構成十分之大的問題,因為大部分保安軟件或防毒軟件,都會假設政府提供的程式是可信任和安全,因此不會採取封鎖或殺毒手段。但不幸的是,中國政府提供的程式,往往都是不可信任,亦不安全。而由於當局強制公民使用這些程式,否則會為生活帶來極大不便,所以基本上,你想移除或迴避這些程式,都是不可能的事,這也是對大部分居於中國大陸的人而言最具挑戰性的地方。
問:那這些後門程式,有沒有辦法可以移除?
如果你用中國製造的防毒軟件,它們根本不會偵查或移除中國政府開發、提供的程式,所以你不必試圖使用中國公司所推出的防毒軟件來檢查你的手機或電腦有否被裝了後門。就算這樣做了,排查到的後門都會是十分之少,大部分後門仍會繼續在你不察覺的地方繼續盜取你的信息。
相比之下,如果你用海外公司的防毒軟件,可以移除大部分後門程式。不過,即使是海外的防毒軟件,一般都會視政府程式為可信任,予以放行。會主動移除政府程式所植入的後門的防毒軟件並不多。
但更糟糕的是,有部分這類後門程式,已經發展出防除錯機制,去迴避防毒軟件的檢測,因此,完全依賴防毒軟件去對付後門程式這種思路已經過時。換言之,一旦後門已被安裝上,要移除和偵測這類後門程式,好可能要花耗九牛二虎之力才能做得到。
而跟隨手機安裝的程式所附帶的後門,根本是作業系統的一部分,所以基本上難以移除和偵測,就算防毒軟件都幫不到你,只有廠商良心發現,或受到輿論壓力下,主動透過作業系統更新,來達致移除後門的效果。但到底有多少手機製造商會這樣做,本身都是十分之大的疑問。
問:那有甚麼方式,去應付這種後門程式避無可避,甚至無法移除的局面?
李建軍:首先,最簡單粗暴的方法就是避免使用中國公司出產的手機,因為很多中國手機製造商的內部管理都有問題,就算手機生產商並無加入後門程式,都會因為對附贈程式的監管不足,後期被第三者加裝後門而懵然不知。所以使用其他國家廠商出產的手機,會相對安全一些,至少因為有較高透明度,安全監管上會好一些。
至於中國當局的指定稅務程式,或其他各類電子政務程式,那是避無可避,唯一避免這些程式取得你資料的方法,就是另外使用一台獨立的設備專門去運行這些程式。使用時確保裝載了這些電子政務程式的手機或電腦,不會有任何你的敏感個人資料。在這個情況下,就算中國當局留下的後門有多強,都不能夠成功取得你任何資料。
0:00 / 0:00