問:蘋果最近推出AirTag,解決了不少大懵之人遺失物件等問題,不過,好快就有保安專家發現,AirTag的設計存在重大漏洞,如果有人改變軟件,或者有人刻意使用蘋果Find My軟件的漏洞的話,就會變成跟蹤工具。AirTag使用蘋果自家晶片,為何其軟件都可以被修改,將AirTag改變為跟蹤器?
李建軍:AirTag使用蘋果自家的U1晶片,這個晶片並非新事物,在iPhone 11系列已經首度使用。但用於電話、平板電腦一類複雜器材,其作業系統有重重保安,黑客要利用手機或平板電腦做跟蹤監控,絕不容易。但AirTag只有U1晶片,你怎能期待一個用鈕扣電池推動的器材,會有十分之複雜的保安和作業系統。因此,有保安專家輕而易舉將AirTag內部軟件重寫,變成惡意硬件亦不會令人感到意外。就算蘋果的設計如何天衣無縫,但以現時黑客的水平,要攻破AirTag是很容易。Find My軟件功能用在手機、平板電腦甚至筆記簿電腦都無大問題,甚至用在手錶上都未必有問題,但用在只有最基本功能的超小型電腦上,就很可能出問題。
問:如果AirTag會變成跟蹤工具,那有甚麼要注意?
李建軍:首先,在蘋果未解決AirTag的保安隱患之前,不要去嘗試用AirTag。應留待日後硬體和軟件保安上更完善,才考慮購買AirTag保障你家中的貴重資產,或者防止你因記性不好,而將私人物品遺留公眾地方等問題。
另一方面,不要接受任何朋友送給你的AirTag,如果你在信箱見到不請自來的AirTag,你應該立即棄置,不要使用。因為這些AirTag,隨時是有心人加料的產品,目的是為了容易跟蹤你。同樣道理,亦適用於如果你在車底發現不明來歷電子器材,或AirTag的物件,就必需要立即移除有關設備並加以銷毀,以免中國當局可以利用這些設備去跟蹤你的一舉一動。AirTag某程度上,意外引發不少私隱問題。
問:如果照AirTag的原理,小型鈕扣電池推動的設備,會否很容易被當局利用,作跟蹤的用途,這樣其實中國當局已經不再需要派專人跟縱。那除了拒絕接受朋友,或不請自來的AirTag,還有甚麼要注意?
李建軍:鈕扣電這器材的體型十分之小巧,所以你要留意,如果突然出現一些不請自來,如匙扣一類的物件,那就要小心有關器材有否被加料。對接受禮物的態度要謹慎,因為中國當局可能會在一些隨身紀念的物件裝置內藏晶片和電池,以作監控之用。而為了不露馬腳,這類設備很大機會不設換電池功能,任由電池耗盡,要再度監控時,就由另一個不請自來的設備接手。因此,對一些不請自來的贈品,要保持警覺的態度,以免自己被跟蹤完全懵然不知。因為AirTag技術反映了基於藍牙的定位跟蹤,已經開始踏入成熟階段。
問:AirTag的原理,基本上都是建基於低能量藍牙技術,那有甚麼方法可以偵測到附近一些不請自來的藍牙裝置?
李建軍:無論Android還是iOS平台,都有一些免費程式,協助你辨認附近的藍牙設備,由發射廣告信息的裝置,到一般藍牙喇叭都認到。只不過,如果你住高層大廈,很可能一掃就有上百件的藍牙設備,因為藍牙訊號的有效發射距離可以長達十米,所以幾乎會掃到你樓上樓下的所有藍牙裝置。
如果你要成功找到可疑裝置,就必須要有一定技術知識。因為有問題裝置,可以偽裝成正常的裝置,例如自己稱自己是一個喇叭,你要透過進一步分析所掃到的資料,才能準確知道你找到你鄰居的喇叭,還是中國當局送給你的跟蹤裝置,這並非一件容易的事,你很有可能需要熟悉藍牙技術的朋友幫忙分析掃回來的程式資訊。