問:近日有網絡保安公司發現,一款螢幕錄影App竟然在推出的更新版本中藏入惡意木馬程式,能偷錄及竊取手機內的影片、照片和文件等檔案。該軟件2021年在Google Play上架時成功通過審核,評價也沒有問題,究竟Google Play Store的審查機制出現了甚麼問題﹖
李建軍:這次被網絡保安公司發現有問題的軟件叫做iRecorder Screen Recorder,這款軟件內部的木馬是輕量級,所以谷歌和一般用戶,都不會察覺軟件突然變得好大。而這些軟件,亦不會取得過量的授權,不會在推出更新版時索取用戶新的私隱授權,因此用戶被人長期安裝了木馬亦懵然不知,除非有保安公司逐一對不同軟件作出保安審計。
而這款軟件,不僅會偷錄你平日的一言一行,還可以竊取手機內的影片、照片和文件等檔案,除非用戶認真審視耗電量,以及數據使用量,否則大部分人都不易察覺到。
現時還不知道其他軟件是否有類似問題,在谷歌仍未改變軟件審查政策,採用更嚴謹的方式前,用戶在Android上安裝軟件時必須要謹慎對待,以免自己安裝了木馬軟件也不知道。
問:如果現時谷歌甚至蘋果的審查機制,都未必能保障個人資料安全,用戶又應該怎樣去選擇軟件下載?
李建軍:如果你用的軟件是西方國家大公司出品,甚至是谷歌或蘋果原廠的,會比較安全,因為他們資源比較多,做事亦會比較謹慎。如果中國大公司出品,你可以假定是ha有風險不宜安裝,因為中國當局會要求他們加插後門。
如果軟件是免費,主要依賴廣告收入維持運作,就要小心。過去有公司為了賺更多廣告收入,罔顧使用者私隱安全,已為人所詬病。現時經濟不好,廣告收入難免下跌,有公司為了維持營運,可能會加入一些罔顧使用者私隱安全的部件,甚至將整間軟件賣給中國或俄羅斯背景有關人士。因此,避免使用來自印度、中國、俄國等國家,純粹依賴廣告收入營運的軟件,這點是很重要。
另外,一些收費的軟件亦要留意其異動,例如軟件突然由收費變免費,出現免費的廣告版本,或者軟件公司改了國家,甚至軟件開發人改了名,你都要小心提防,因為有可能軟件由第三者接手,或者原有軟件開發商因為出現財政問題,營運作出一些轉變。因此,對來自印度、中國、俄國等國的小公司推出的軟件,應持一個審慎保留的態度,以免自己的資料落入不明第三者,甚至中國政府手上都不知。
問:與谷歌相比,用戶在蘋果下載軟件會否安全一些?
李建軍:蘋果審查人員的水準會否出現同類問題,暫時不清楚。只不過,現時蘋果比較少這類問題,原因是蘋果iOS在在作業系統和保安上的設計比較保守,很多功能不讓開發者隨便使用,一如以往有不少軟件,Windows版功能較多,Mac版功能比較少的情況一樣。
從網絡保安的角度來看,或者是一件好事,黑客比較少機會有機可乘,入侵用家的系統,甚至竊取私隱。對聽眾而言,如果想安全一些的話,在功能上要作出一些取捨,以及要忍受一定程度的不方便,這可能是必要的。