1.原文連結:
※過長無法點擊者必須縮網址
https://p.dw.com/p/3hWf7
2.原文內容:
作者:Fabian Schmidt
TikTok、微信和成千上萬來自中國的App看似無害,其實夾帶著惡意插件,而且巧妙隱藏
了來源。手機用戶該如何保護自己的訊息不被侵害呢?
(德國之聲中文網)
由中國企業開發的TikTok以及其他手機應用程式被指控竊取用戶個人訊息,而這些訊息與
App的實際功能無關,沒有合理的收集理由。
IT安全專家斯特羅貝爾(Stefan Strobel)表示:「TikTok和其他夾帶惡意插件的App並
不無辜,這也不是惡意中傷,因為這些App的開發者從一開始就在他們的應用軟體裡加裝
後門、間諜功能以及其他東西,而且還努力不使人注意到。」
斯特羅貝爾是IT安全顧問公司CIROSEC的創始者兼總裁,為德國中小企業提供IT安全咨詢
服務,部分客戶在中國有業務活動。因此,斯特羅貝爾對於中國開發的App也有頗為深入
的瞭解。他認為,用戶群龐大的TikTok以及微信只是冰山一角。
微信是個通用的應用軟體,除了收發訊息和支付功能外,還與其他社群網站應用程式結合
。微信在中國被廣泛使用,IT專家們毫不懷疑地認為,所有流經微信的訊息幾乎都被中國
政府記錄下來。
我的App裡隱藏了什麼?
此外,還有數千個多數為免費的APP,甚至商業應用程式也有此類問題。斯特羅貝爾指出
:「我們越來越常注意到,出於某些原因,開發商投入了許多資源,讓分析App變得更困
難。如果努力嘗試破解裡頭的保護功能並探究其編程方式,會發現各種訊息都被收集並送
往中國。而這些訊息其實沒有收集的必要。」
許多應用程式乍看之下不起眼而且無害。起初它只是安裝一個小小的後門,以利駭客日後
使用。「就算你現在看這些App、看上去一切無害,但中國開發商通常能在使用期間延展
它的功能。你不需要再次在App商店中下載這個軟體,它就能突然增加其他的操作。」
無所謂的心態要不得
斯特羅貝爾表示,這與西方軟體開發商定期提供的App實時更新不同。中國間諜App的「運
行中更新」不能與微軟Office系統的更新相提並論。「作為客戶端,我可以同意微軟Of-
fice進行更新。中國的應用軟體則是在用戶毫不知情的情況下更新,甚至可能是在用戶正
在使用App的當下。」
TikTok就是一個非常巧妙的例子。最初它偽裝成有趣且無害的軟體,但它對用戶訊息的渴
求卻隨著時間以及軟體的成功與日俱增。直到大量用戶使用這個軟體後,就會出現牽引效
應。斯特羅貝爾分析此類軟體的策略稱:「當這個App佔據了引領潮流的地位並且大受歡
迎時,人們會說:『嘿,我也要用這個!』接著開發商會逐漸延伸其權限,而已經安裝軟
體的用戶就必須同意更多條款。」
開發商以此類方式擴大使用者賦予App的權限。許多用戶根本不清楚App要求了什麼樣的權
限。當App跳出一個對話框時,他們只是下意識點選同意。如此,App便能取得用戶實時位
置,隨時得知他們身處何地,甚至可能取得手機聯絡人或是行事歷訊息。想要使用App,
就必須接受這些條件。
系統預裝的惡意軟體
不僅是用戶主動在App商店中下載的應用軟體有此類情況。在購買智慧型手機時,裡頭經
常已經預先安裝了惡意軟體。美國網路安全公司Kryptowire首席執行官斯塔夫魯(Ange-
los Stavrou)表示:「許多智慧型手機運營商使用第三方開發軟體,卻不知道它的來源
以及編程者為何人。惡意軟體成了製造鏈的一部分,很快就能使其受到侵蝕。」
該公司去年在26家製造商的安卓手機預裝應用軟體中發現了146個安全風險,這些軟體可
能是來自電信公司、電子產品商店等。斯塔夫魯在2020年IT防禦大會期間向德國之聲透露
,目前又增加了上百個安全漏洞。
Kryptowire的研究總監約翰遜(Ryan Johnson)舉了用於更改字體的小程序「Lovelyfon-
ts」和「LovelyHighFonts」為例。這兩個程序號稱是單純的字體程序,能使手機屏幕上
顯示的字體更生動有趣。
事實上,這些程序會在用戶不知情的情況下對手機發動攻擊,打包手機中的加密數據,並
在手機閒置時將數據發送給位於上海的一個伺服器。
約翰遜表示:「我們發現的部分程序擁有系統特權,是作業系統的一部分。使用者無法將
其關閉。如果此類應用程式有缺陷,用戶無法做出任何應對。」
軟體開發藏風險
與蘋果的IOS系統相比,安卓更容易受到惡意軟體的危害。原因在於,蘋果一手掌握了其
手機開發及App商店,在發現惡意軟體時可以更快速地應對並將其移除。
安卓系統則需要更多反應時間。安卓的一個開源項目(ASOP)提供軟體開發者所需的訊息
和原始碼。開發商若想要推出新智慧型手機,可以在代碼庫中尋找客戶可能會喜歡的軟體
搭配組合。約翰遜警告:「所有ASOP中的安全漏洞都由此轉移給手機供應商。」
IT安全專家斯特羅貝爾也認為,混亂的製造、開發和經銷結構形成了安全風險。「裡頭有
許多參與方,對應一個分散的市場。由於有許多硬體製造商對作業系統作出修改並貼上自
己的標記,導致一切變得不夠安全。」
惡意軟體藏在程序工具中
蘋果並非完全倖免於此類攻擊,2015年源自中國的XcodeGhost風波便是一例。這個惡意代
碼潛伏在蘋果的程序開發工具Xcode中,而程序設計者需要Xcode 來編寫MacOS或IOS系統
的應用軟體。
斯特羅貝爾指出:「如果下載的是蘋果官方Xcode並用其開發App便不會出現狀況。但如果
通過無需付費的灰色渠道取得Xcode,惡意代碼會被自動植入App中,這就會出現問題。」
當時約有4000個應用程式在開發者不知情的情況下被注入惡意代碼。看上去是個龐大的數
字,但與目前蘋果App商店中近200萬個應用程式相比,這個數字只是九牛一毛。但IT專家
斯特羅貝爾也必須承認,XCodeGhost確實是非常專業的駭客手法:「從駭客的角度來評價
,通過開發環境,在App開發期間就植入惡意代碼,手段極為高明。」
手機比電腦安全
使用者能做些什麼來確保手機的安全?令人驚訝的好消息是:智慧型手機的安全性比想像
中更高。
斯特羅貝爾表示:「無論是安卓或IOS,智慧型手機作業系統的基本概念是,App會在沙盒
中運行,只具備非常有限的權限。」
如果作業系統沒有開放的安全漏洞,惡意軟體也無法訪問用戶在其他App中執行的操作,
甚至是攻擊作業系統。斯特羅貝爾指出,智慧型手機通常比一般電腦更安全。「例如IOS
比一般的Windows 10系統電腦安全。這是因為即便作為使用者,我在IOS手機中也沒有管
理權限,但在我的電腦上卻擁有這些權限。」
取決於使用者
重要的是隨時保持警惕。不要將所有看似有意思的東西安裝在自己的手機上。對於應用程
式擁有哪些權限,使用者不僅應心裡有數,也不要隨意批准所有權限。
在各種有關中國間諜軟體的警告以及製造商缺乏透明度的情況下,是否還要使用中國製造
商推出的智慧型手機,最終取決於個人。
企業可以通過中央設備管理(即所謂的MDM功能),保護發放的業務用手機安全性。通過
上述管理系統,企業能決定手機上只能安裝特定App,或使用者可與哪些網路連線。雖然
這樣的限制會減少手機使用的樂趣,但至少能確保數據都完好地保存在手機裡。
3.心得/評論:
※必需填寫滿20字
單觀美國政府近期針對中國的種種政策,即可得知,主要癥結點還是在於諸如騰訊、字節
跳動等公司,在資訊安全、個資問題方面管理不善。
而且,若再就中國商務部與科技部調整《限制出口技術目錄》的背後主因進行推測,即可
知曉他們的恐懼到底在於何處了。