問:曾經協助香港警方成功破解示威者手機的以色列手機鑑識公司,最近聲稱能夠「破解」Signal的通訊,但被Signal的老闆反將一軍,指出該公司所用破解工具存有保安漏洞,並且聲言Signal內部日後會有一個檔案,一般人平日都不會用到,預料是針對破解工具的保安漏洞而設計的特別檔案。為何破解手機的工具,會有過百個保安漏洞,甚至有些漏洞存在長達十年以上?
李建軍:其實以色列相關公司推出的破解軟件,本身就是利用大量保安漏洞才能破解手機的內容,所以軟件內有大量各式各樣的漏洞並不令人意外,該公司明知自己的工具有大量漏洞都不去修補,是因為修補之後,他們的工具便廢了武功。
該以色列公司有相當知名度,但不幸地其硬件落入Signal其中一位始創人手上,而此人本身就是一名保安專家,因此在短期內要破解Signal不單變得不可行,Signal公司更很大機會向蘋果和谷歌指出其作業系統被濫用的安全漏洞,並儘速作出修補。香港警察日後要取得市民的手機資料的難度將會大增,當然,如果你使用Signal會更加安全,因為Signal已經有設計針對相關科技公司的軟硬件作出防備。
問:其實上述的情況,這亦是你為何一直都反對聽眾為手機進行越獄,或者解鎖的做法?
李建軍:要替手機越獄,一定用到保安漏洞,而透過黑客工具替手機越獄,就有如對黑客大開中門。對於有一定技術水平,知道如何防備黑客入侵的高手,當然不怕使用這類型工具,但對大部分缺乏相關技術知識的聽眾,你越獄只不過令執法部門的黑客工具更容易入侵你的手機,一點都不安全。而在App Store日漸成熟之下,亦越來越少黑客投入破解手機,幫手機越獄一類的研究工作,因為有不少黑客都發現,他們辛苦研發的技術,最終被中國、香港一類漠視公民權利的政府所濫用,並不值得。而大部分應用程式,都有相應的App Store版本,並不再需要透過越獄才能夠安裝。
問:要避免保安公司的黑客工具能破解你的手機,除了定期更新作業系統之外,還有甚麼可以做?
李建軍:定期更新作業系統,當然減低保安公司的黑客工具成功破解你手機的機會,只不過,蘋果和谷歌會否因應執法部門要求,故意保留部分保安漏洞,這點是相當有可能。因為Signal公司發現,以色列的保安公司軟件中,有兩個經蘋果簽署的數碼證書,相關數碼證書不應該作黑客工具用途,如果蘋果明知保安漏洞存在,因執法部門或個別國家政府要求保留漏洞,有可能會引發訴訟,向蘋果要求賠償,因此,完全依賴蘋果或谷歌去更新作業系統,堵塞漏洞這個做法,並非百分百安全。
Signal自己在軟件之中加入檔案,干擾保安公司黑客工具的運作,這種做法如果不影響到用戶體驗和安全,其實是相當可取的做法。至少對用戶而言是多一種保障,而Signal有可能是目前最安全的即時通信軟件之一,特別是Signal暫時未有任何計劃上市,亦願意向用戶披露作業系統的保安風險,並自行作出回應。
相反,Telegram有傳會尋求在香港上市,在香港已實施《國安法》的情況下,Telegram會否為了成功上市,與中國當局妥協,變成了一大疑問。再加上香港警方掌握如何破解Telegram系統情況下,Telegram好像未有作出技術上的回應,因此,由用戶安全的角度,Signal的回應行動,以及技術方針比較下,Signal比起Telegram更加顧慮到用戶安全。針對一些相當敏感的內容,使用Signal有可能比Telegram更加安全實在。