問:谷歌較早前指中國電商應用拼多多(PDD)當中含木馬程式,已暫時將該程式從谷歌Play Store下架。不過美版拼多多Temu就暫時不受影響。此外拼多多旗下有很多程式和小程式,也未收到警報,是否有必要一併停用?
李建軍:當然,拼多多應用程式在蘋果iOS平台版本,以及美版拼多多的應用程式都應立即刪除。其實中國公司的應用程式都應停止,不單止拼多多的其他程式。因為中國應用程式加木馬偷取用戶資料這種陋習由來已久,而且屢次出現。過往是民企為了得到私隱法律以外所容許的資訊,冀望得到更大的市場優勢,因此暗藏木馬。但現時暗藏木馬的目的,有可能是協助中國當局監控民眾以至搜集情報。不論蘋果或谷歌有否發現木馬程式,購買中國製手機、安裝中國公司的程式都是引狼入室,更何況這次谷歌真的發現有問題的代碼。因此,就算谷歌之後認為拼多多應用程式無問題,可以恢復在Google Play Store供用戶下載,都不要再使用相關應用程式,因為有可能只是這些公司偷竊用戶資料手段變得更高明,可以避過谷歌的規管,並不代表問題已經徹底解決。
問:世界多國政府都陸續禁止員工使用Tiktok,其實Tiktok現時在蘋果和谷歌的應用程式商店都可供下載,照道理應該是安全的,為何還是受到質疑?
李建軍:蘋果App Store同谷歌Play Store審查應用程式時,其實只能就應用程式碼的內容作出模擬同審查,但應用程式的後台主機程式碼內容,由於涉及相當之多的商業機密,因此,蘋果和谷歌基本上是無能為力,蘋果和谷歌可以確保前台的應用程式並無病毒和木馬,但如果後台應用程式利用其他方式進行資料偷竊,或作出一些不見得光的遙控動作,蘋果和谷歌是阻止不到。相信美國政府的人員已經分析到Tiktok後台主機一些可疑動作,因此最終美國政府要高調介入,與各國政府分享後而同步行動。
Tiktok母公司字節跳動有這種危險做法,拼多多甚至其他中國公司恐怕也存在這種做法。因此,最安全的做法,就是在盡可能的情況下,避免使用中國公司的應用程式,因為中國公司和政府,明顯捉到谷歌和蘋果的盲點,透過迴避這兩間公司保安人員的審查,繼續在用戶不知情的情況下搜集情報。
問:但遇上中國公司在海外使用其他公司名義推出應用程式,用戶如何能進行識別呢?
李建軍:如果中國公司用香港公司,或英屬處女島公司名義推出應用程式,你是很難查得到,因為英屬處女島一直都未有開放公司註冊檔案供公眾查閱。至於香港本來很透明,但由於中國要利用香港公司名義所從事很多不見得光的活動,現時已經大大限制查冊,你只能假定有不少所謂香港註冊有限公司,根本是中國公司。因此,這兩個地方註冊公司推出的應用程式,你都應該加倍小心提防。
更無良的招數,當舉利用一些歐洲或美國公司名義推出的應用程式,如果你不懂得當地的公司註冊法律,根本無從得知這些公司的真實身份,這種招數過往俄羅斯人用得很多,我相信隨中俄交流越來越多,這類招數中國人都會用,甚至乾脆以俄裔人士來控制有關公司,等你不知道這些公司實際上由中國公司所控制。說到底,對於不明來歷的應用程式,必須有警惕的態度。