問:相信有不少中國聽眾,都有可能用過由阿里巴巴旗下公司「優視(UCWeb)」所開發的瀏覽器,但最近有西方保安專家發現,其UC瀏覽器的印尼版,即使用戶開啟「無痕模式」,個人敏感資料都照樣回傳到該公司的主機。到底是怎樣一回事,又會為用戶的私隱和安全,帶來怎樣的衝擊呢?
李建軍:UCWeb在印尼的版本,會為每一位用家建立一個獨一無二的用戶編號,如果你未有仔細分析,是不會知道這個用戶編號,不論你用「無痕模式」,還是普通模式,瀏覽器都會將你瀏覽過的網站,瀏覽時間,搜尋字串、手機IMEI,SIM卡、IP等等資料,一五一十送到阿里巴巴的主機中,無一倖免。而UCWeb亦未有按最新蘋果iOS的私隱功能要求,容許用戶關閉應用程式的追蹤功能。換言之,不論你翻牆與否,你瀏覽過甚麼網站,阿里巴巴公司都會有紀錄,亦意味著,如果中國當局有需要時,只要向阿里巴巴查閱你的優視瀏覽紀錄,一切就無所遁形,所以這件事是十分之恐怖。
問:UC瀏覽器如此搜集個人敏感資料,用戶又有甚麼方式去補救?
李建軍:基本上,你只有停用UCWeb優視瀏覽器,防止未來進一步資料外洩。由於UCWeb優視瀏覽器涉及未經授權搜集SIM卡以及IMEI等資料,如果你用香港預付卡,那最多換另一款手機,以免被當局追蹤。但如果你用中國手機SIM卡,由於中國實施手機實名制,你要預期中國當局可以透過阿里巴巴在UCWeb資料庫中,取得你曾瀏覽敏感網站的紀錄。
這次阿里巴巴公司追蹤用戶的行為十分惡劣,即使用戶開啟「無痕模式」都照搜集敏感資料,這種做法,根本是出賣用戶的信任。很多人以為「無痕模式」相當安全,可以保障私隱,但其實完全不安全,還讓當局有機會搜集到你不希望當局知道的瀏覽紀錄,這實在是十分過份的事。
問:對中國用戶而言,甚麼瀏覽器比較安全,無法被追蹤?
李建軍:首先,中國公司所寫的瀏覽器都假定不安全,因為中國公司連「無痕模式」都可以暗中搜集資料,你唯一可以做是假定中國公司的軟件,一律有不為人所知的後門,而你可以做,就只有杯葛不用中國公司所出的瀏覽器。就算是掛名歐洲公司推出的Opera瀏覽器,仍然有相當的風險,因Opera現時大股東是中國公司,仍有可能出現與UCWeb優視一樣的問題。因此,任何瀏覽器的開發公司,如果由中國公司主導,都只能一律假定不能用。
如果你下載Safari、Mozilla和Chrome以外的瀏覽器,你必須充分掌握相關公司的背景方能使用,否則你無意中用了中國公司軟件都不知,因為中國公司很愛收購其他國家的公司,或在其他國家開設空殻公司,但實際上開發仍然在中國進行,亦與中國當局關係密切,如果他們照阿里巴巴一樣的做法,屆時你的處境就十分之危險,不明來歷公司所出的瀏覽器,你都一律不能用。
以保安角度,最安全當然是以Tor為基礎的Onion洋葱瀏覽器,除了開放源碼,而且設計上就是為了高度保護私隱,只不過,並非任何時候都可以用Tor的瀏覽器。如果以普通瀏覽器而言,Mozilla其實對用戶的私隱最為有利,因為Mozilla基金會並非商業機構,都會堅守一定程度上的私隱保障。
另外,屬於蘋果和谷歌兩大集團的Safari或Chrome,雖然都以開放源碼軟件為基礎,也不會像阿里巴巴這樣離譜,持續追蹤用家的資料,但兩間公司都有本身的商業考慮,而過往的保安公司研究都顯示,谷歌仍然在「無痕模式」搜集少量資料的紀錄,因此,如果你十分之關注私隱問題,由商業上中立的Mozilla基金會所推出的Mozilla瀏覽器,是合符你安全的需要。