問:近日荷蘭和比利時等國警方合作,破獲一個龐大的販毒集團,據稱,警方成功破解了犯罪集團使用的的手機加密信息軟件後,突擊搜查近百處地點,並拘捕了數十人,是歷來最大規模的執法行動。從這件事來看,是否反映類似Signal一類的加密點對點信息軟件的保安功能並不足夠?
李建軍:這次荷蘭、比利時、德國、英國等國警方成功破解的軟件,是名叫SkyECC的加密信息服務。雖然有關公司聲稱他們的系統並無被攻破,是有關執法當局散播謠言,但SkyECC的商業模式,確實令人質疑是否需要花這筆錢,去買一些保安上可能有疑問的手機。而使用Signal一類開放源碼軟件,相反是更為安全可靠。
問:究竟SkyECC商業模式有甚麼問題?
李建軍:SkyECC問題在於,用戶不能直接在App Store或Play Store購買相關軟件和服務,而是需要以頗為昂貴的價錢,買特別版本的iPhone或Android手機,預裝了他們的軟件。不能夠用App Store或Play Store又能夠安裝軟件,相信唯一方法就是越獄後拆毀作業系統保安機制後再安裝軟件,但曾經越獄過的電話,又怎可能確保安全? 歐洲各國的執法當局,若是用其他方法突破手機作業系統保安機制,以截取目標人物的通訊,就變得相當可行。因此要通訊保密,根本不必買一些已經越獄的特定手機。
另一方面,由於SkyECC不是開放源碼軟件,並未經各路人馬驗證保安水平,所以相關公司單方面聲稱自己是世上最安全手機,根本是未經證實。相反,Signal是開放源碼軟件,各方高手都可以驗證軟件的安全程度,所以Signal的保安水平反而更有保證。
而對中國的聽眾,SkyECC能否入口中國本身都是疑問,有可能由海外寄到中國時已經被海關扣留。中國海關見到這類手機,不會只是徵收高額關稅那麼簡單,被中國當局沒收有關手機,不見得是一件令人驚訝的事情。
問:如果SkyECC公司越獄安裝軟件後,再堵塞漏洞,又是否可行?
李建軍:如果SkyECC或類似的軟件服務,要能夠持續更新軟件,就必須保持越獄狀態,所以並不存在安裝軟件後再解除越獄狀態這種做法。更大的問題,是越獄會妨礙升級作業系統,因為越獄這種行為,本身就是依靠作業系統漏洞去達成,而每一次作業系統升級,都會同時解決成功越獄的問題,結果很明顯,任何使用不正常方法安裝實時通訊軟件的手機,都必須阻止用戶將作業系統升級,而不升級作業系統的風險更大。所以這類手機,根本是不安全。
問:有甚麼方法可以確保自己的點對點實時通訊軟件是安全,不會被當局截取通訊?
李建軍:首先,你的手機不要越獄或試圖干擾作業系統保安功能,因為當局往往利用越獄造成的漏洞去突破你的手機通訊。另外,要留意你家中的無線路由器安全情況,因為當局可以利用無線路由器作突破點,如果你的無線路由器通訊未經加密,或者使用版本太舊,當然可以輕易破解加密技術,結果是用甚麼手機或軟件,都不會有甚麼分別。
另外要避免安裝一些古靈精怪的軟件,因為這些軟件,可以附有當局特設的木馬,同時也不要亂開電郵附件,因為電郵附件本身也是其中一個攻破保安系統的缺口。如果你十分之擔心通訊內容被攔截,可以用軟件提供的保安功能,例如閱後即焚,或在指定時間後自動刪除信息等,再加上VPN或Tor翻牆,應該可以提供相當充足的保護,因為當局要突破多重加密,才能得到想攔截的資料,這並非一件事容易的事。相反,購買一些奇奇怪怪的電話,除了浪費金錢之外,也沒有進一步的私隱保障,這是相當無謂的一件事。