1.原文連結： ※過長無法點擊者必須縮網址 https://p.dw.com/p/3hWf7 2.原文內容： 作者：Fabian Schmidt TikTok、微信和成千上萬來自中國的App看似無害，其實夾帶著惡意插件，而且巧妙隱藏 了來源。手機用戶該如何保護自己的訊息不被侵害呢？ （德國之聲中文網） 由中國企業開發的TikTok以及其他手機應用程式被指控竊取用戶個人訊息，而這些訊息與 App的實際功能無關，沒有合理的收集理由。 IT安全專家斯特羅貝爾（Stefan Strobel）表示：「TikTok和其他夾帶惡意插件的App並 不無辜，這也不是惡意中傷，因為這些App的開發者從一開始就在他們的應用軟體裡加裝 後門、間諜功能以及其他東西，而且還努力不使人注意到。」 斯特羅貝爾是IT安全顧問公司CIROSEC的創始者兼總裁，為德國中小企業提供IT安全咨詢 服務，部分客戶在中國有業務活動。因此，斯特羅貝爾對於中國開發的App也有頗為深入 的瞭解。他認為，用戶群龐大的TikTok以及微信只是冰山一角。 微信是個通用的應用軟體，除了收發訊息和支付功能外，還與其他社群網站應用程式結合 。微信在中國被廣泛使用，IT專家們毫不懷疑地認為，所有流經微信的訊息幾乎都被中國 政府記錄下來。 我的App裡隱藏了什麼？ 此外，還有數千個多數為免費的APP，甚至商業應用程式也有此類問題。斯特羅貝爾指出 ：「我們越來越常注意到，出於某些原因，開發商投入了許多資源，讓分析App變得更困 難。如果努力嘗試破解裡頭的保護功能並探究其編程方式，會發現各種訊息都被收集並送 往中國。而這些訊息其實沒有收集的必要。」 許多應用程式乍看之下不起眼而且無害。起初它只是安裝一個小小的後門，以利駭客日後 使用。「就算你現在看這些App、看上去一切無害，但中國開發商通常能在使用期間延展 它的功能。你不需要再次在App商店中下載這個軟體，它就能突然增加其他的操作。」 無所謂的心態要不得 斯特羅貝爾表示，這與西方軟體開發商定期提供的App實時更新不同。中國間諜App的「運 行中更新」不能與微軟Office系統的更新相提並論。「作為客戶端，我可以同意微軟Of- fice進行更新。中國的應用軟體則是在用戶毫不知情的情況下更新，甚至可能是在用戶正 在使用App的當下。」 TikTok就是一個非常巧妙的例子。最初它偽裝成有趣且無害的軟體，但它對用戶訊息的渴 求卻隨著時間以及軟體的成功與日俱增。直到大量用戶使用這個軟體後，就會出現牽引效 應。斯特羅貝爾分析此類軟體的策略稱：「當這個App佔據了引領潮流的地位並且大受歡 迎時，人們會說：『嘿，我也要用這個！』接著開發商會逐漸延伸其權限，而已經安裝軟 體的用戶就必須同意更多條款。」 開發商以此類方式擴大使用者賦予App的權限。許多用戶根本不清楚App要求了什麼樣的權 限。當App跳出一個對話框時，他們只是下意識點選同意。如此，App便能取得用戶實時位 置，隨時得知他們身處何地，甚至可能取得手機聯絡人或是行事歷訊息。想要使用App， 就必須接受這些條件。 系統預裝的惡意軟體 不僅是用戶主動在App商店中下載的應用軟體有此類情況。在購買智慧型手機時，裡頭經 常已經預先安裝了惡意軟體。美國網路安全公司Kryptowire首席執行官斯塔夫魯（Ange- los Stavrou）表示：「許多智慧型手機運營商使用第三方開發軟體，卻不知道它的來源 以及編程者為何人。惡意軟體成了製造鏈的一部分，很快就能使其受到侵蝕。」 該公司去年在26家製造商的安卓手機預裝應用軟體中發現了146個安全風險，這些軟體可 能是來自電信公司、電子產品商店等。斯塔夫魯在2020年IT防禦大會期間向德國之聲透露 ，目前又增加了上百個安全漏洞。 Kryptowire的研究總監約翰遜（Ryan Johnson）舉了用於更改字體的小程序「Lovelyfon- ts」和「LovelyHighFonts」為例。這兩個程序號稱是單純的字體程序，能使手機屏幕上 顯示的字體更生動有趣。 事實上，這些程序會在用戶不知情的情況下對手機發動攻擊，打包手機中的加密數據，並 在手機閒置時將數據發送給位於上海的一個伺服器。 約翰遜表示：「我們發現的部分程序擁有系統特權，是作業系統的一部分。使用者無法將 其關閉。如果此類應用程式有缺陷，用戶無法做出任何應對。」 軟體開發藏風險 與蘋果的IOS系統相比，安卓更容易受到惡意軟體的危害。原因在於，蘋果一手掌握了其 手機開發及App商店，在發現惡意軟體時可以更快速地應對並將其移除。 安卓系統則需要更多反應時間。安卓的一個開源項目（ASOP）提供軟體開發者所需的訊息 和原始碼。開發商若想要推出新智慧型手機，可以在代碼庫中尋找客戶可能會喜歡的軟體 搭配組合。約翰遜警告：「所有ASOP中的安全漏洞都由此轉移給手機供應商。」 IT安全專家斯特羅貝爾也認為，混亂的製造、開發和經銷結構形成了安全風險。「裡頭有 許多參與方，對應一個分散的市場。由於有許多硬體製造商對作業系統作出修改並貼上自 己的標記，導致一切變得不夠安全。」 惡意軟體藏在程序工具中 蘋果並非完全倖免於此類攻擊，2015年源自中國的XcodeGhost風波便是一例。這個惡意代 碼潛伏在蘋果的程序開發工具Xcode中，而程序設計者需要Xcode 來編寫MacOS或IOS系統 的應用軟體。 斯特羅貝爾指出：「如果下載的是蘋果官方Xcode並用其開發App便不會出現狀況。但如果 通過無需付費的灰色渠道取得Xcode，惡意代碼會被自動植入App中，這就會出現問題。」 當時約有4000個應用程式在開發者不知情的情況下被注入惡意代碼。看上去是個龐大的數 字，但與目前蘋果App商店中近200萬個應用程式相比，這個數字只是九牛一毛。但IT專家 斯特羅貝爾也必須承認，XCodeGhost確實是非常專業的駭客手法：「從駭客的角度來評價 ，通過開發環境，在App開發期間就植入惡意代碼，手段極為高明。」 手機比電腦安全 使用者能做些什麼來確保手機的安全？令人驚訝的好消息是：智慧型手機的安全性比想像 中更高。 斯特羅貝爾表示：「無論是安卓或IOS，智慧型手機作業系統的基本概念是，App會在沙盒 中運行，只具備非常有限的權限。」 如果作業系統沒有開放的安全漏洞，惡意軟體也無法訪問用戶在其他App中執行的操作， 甚至是攻擊作業系統。斯特羅貝爾指出，智慧型手機通常比一般電腦更安全。「例如IOS 比一般的Windows 10系統電腦安全。這是因為即便作為使用者，我在IOS手機中也沒有管 理權限，但在我的電腦上卻擁有這些權限。」 取決於使用者 重要的是隨時保持警惕。不要將所有看似有意思的東西安裝在自己的手機上。對於應用程 式擁有哪些權限，使用者不僅應心裡有數，也不要隨意批准所有權限。 在各種有關中國間諜軟體的警告以及製造商缺乏透明度的情況下，是否還要使用中國製造 商推出的智慧型手機，最終取決於個人。 企業可以通過中央設備管理（即所謂的MDM功能），保護發放的業務用手機安全性。通過 上述管理系統，企業能決定手機上只能安裝特定App，或使用者可與哪些網路連線。雖然 這樣的限制會減少手機使用的樂趣，但至少能確保數據都完好地保存在手機裡。 3.心得/評論： ※必需填寫滿20字 單觀美國政府近期針對中國的種種政策，即可得知，主要癥結點還是在於諸如騰訊、字節 跳動等公司，在資訊安全、個資問題方面管理不善。 而且，若再就中國商務部與科技部調整《限制出口技術目錄》的背後主因進行推測，即可 知曉他們的恐懼到底在於何處了。 -- 長亭外，古道邊，芳草碧連天。晚風拂柳笛聲殘，夕陽山外山。 天之涯，地之角，知交半零落。一壺濁酒盡餘歡，今宵別夢寒。 長亭外，古道邊，芳草碧連天。問君此去幾時還，來時莫徘徊。 天之涯，地之角，知交半零落。人生難得是歡聚，惟有別離多。 　　　　　　　　　　　　　　　　　　　　　　　　　　——【現代】李叔同《送別》 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 115.135.95.107 (馬來西亞) ※ 文章網址: https://www.ptt.cc/bbs/Stock/M.1598788475.A.B78.html