問:一直以來,二步認證手機短信遭攔截成為不少人的困擾。台灣警方近日更查出有智能手機廠商,在作業系統出廠時,便「附贈」協助攔截認證短信的功能。究竟台灣發生了甚麼案件,揭露了個別手機廠商的恐怖之處?
李建軍:台灣警方在揭破一宗騙案中,發現台灣大哥大其中一款委托一間瀋陽公司生產的廉價手機中,藏有可以讓歹徒攔截認證短信的代碼,令大批購買了這款手機的老人家成為了歹徒的人頭帳戶,協助騙取遊戲點數而懵然不知。現時台灣大哥大公司要與其他公司合作,修改有關手機的作業系統,刪除可以讓歹徒攔截點數的部分,希望新版作業系統,能夠令用家安全使用。
問:其實廉價手機有很多都是用Android作業系統,為何這些手機,居然被不法之徒安裝攔截認證短信軟件而未被察覺?
李建軍:Android作業系統有兩部分,一部分是含有谷歌專用程式,那些谷歌專用程式,像YouTube、GMail都是谷歌擁有知識產權,廠商如果無谷歌授權是不可以隨便預載這些軟件,例如華為就是因為美國政府的禁令影響,谷歌不可以向華為發出授權,讓華為手機預載谷歌軟件。但Android作業核心部分,卻是開放源碼。每一間公司,都可以在網上取得源代碼並在加以修改後,用於自己生產的Android手機之中。華為之所以在禁令下仍得以繼續維持手機部分運作,也是因為這個特性。
而有部分小廠又或是中國政府指揮下的特定公司,一如華為一樣,以Android開放源碼部分做基礎,在出品中加上自己的代碼或軟件商店。這些小廠由於沒有甚麼商譽上考慮,因此夠膽在手機植入木馬,偷竊用戶資料,甚至與犯罪組織分享,其中有些還可能是政府行為。像華為、小米一類大公司,實在承擔不起被其他國家政府發現代碼有問題的商譽損失,中共未必敢指令這些大公司胡作非為,但小公司可能只有中國或一些發展中國家市場,因此他們便敢做一些大家想像不到的事。
問:要避免自己的手機一買回來,就是黑客的工具,有甚麼方法防止?
李建軍:首先,買手機不應買細廠產品,也不應買中國公司的產品,買電話必須是外資大公司的品牌,因為大牌子在基本資訊保安上一般做得比較好,但細廠有不少山寨形式經營,並不會將用戶的安全放在眼內。
問:用戶能否透過留意不尋常數據用量,達到預防這類手機預裝入侵軟件的怪事?
李建軍:這招是行不通,因為你無法確切得知,你的手機正常用量是多少。如果你的手機是後來被入侵,你能夠通過發現一些突然的數據流量或電力使用變化。但這次是你的手機,當你買回來那一刻已經預載攔截軟件,所以要發現異常流量,其實是十分之困難。這亦是出這一招的黑客狡猾的地方。因此,避免買由小廠出品的手機,那是唯一方法。
問:大型電訊公司委托一些小廠所生產的手機系列,是否也要避之則吉?
李建軍:這次台灣大哥大被發現大規模安裝了攔截軟件的手機,正正是台灣大哥大這間電訊公司所推出的廉價手機系列。這類手機以廉價招徠,所以不顧及用戶的安全亦非個別事件。而中國三大電訊公司都是國有企業,情況只會比台灣這次案例更離譜,所以一般聽眾在中國,都不應買電訊公司自家牌子的廉價手機,因為這類手機礙於生產成本問題,以賤價方式委托小公司生產,小公司為了更高利潤,與政府以及犯罪集團合作來彌補手機價錢低殘的損失,那是不令人意外的。因此,對太廉價的智能手機,一般人應該持觀望態度,因為手機生產商並非慈善企業,他們仍然要賺你的錢。