問∶有一間網絡保安公司研究報告,指中國常用的QQ以及微信,內藏極危險的木馬軟件,而且難以清除,請問面對這一些內藏木馬軟件,能否移除,還是需要用另一些方法去防止木馬軟件偷竊自己的資料?
李建軍∶這次Lookout公司發現,同樣由騰訊公司開發的QQ和微信,都內藏一種叫xRat的木馬程式,這程式會在手機內偽裝成無害的文件,令到難以刪除,但xRat可以取得手機極高的執行權限,包括取得其他軟件的通訊資料,以及啟動手機咪高峰等。因此,只要安裝QQ和微信,就等如任由中共當局監控你的一舉一動。
要保護自己的個人資料以及安全,避免受到QQ和微信內藏的木馬程式所影響,唯一方法是不要在手機安裝QQ和微信,如果一定要用QQ和微信,就要使用一部無關痛癢的手機,以及如果要會見一些相對敏感的人物,或出席一些相對敏感的會議時,就必須關閉有關手機;如果手機可以拆出電池,就乾脆連電池都拆除,以策安全。除非騰訊公司願意推出一個安全版本的QQ或微信,否則這個木馬程式是無法移走,安裝防毒軟件亦無補於事。
以保障個人安全而言,避免使用由中國公司出產的任何軟件,以及關連的各類服務,幾乎是最有效的方法。因為現時中國軟件為了保住市場地位,與當局的合作幾乎是無底線,因此,現時只有假定任何中國公司出產的軟件,都可能與當局的監控有關。
問∶谷歌最近決定,會對一系列由Symantec發出的數碼證書不予信任,並在明年初推出的Chrome66版執行,這會對大部分聽眾會有甚麼影響?而谷歌為何不信任Symantec推出的大部分數碼證書?
李建軍∶谷歌決定在Chrome66版開始,不信任所有Symantec在2016年後所核發的數碼證書,最終所有Symantec將管理數碼證書工作架構交予Digi Cert公司前發出的數碼證書都不予信任,除了少數谷歌已經審視過安全狀況的證書。這與Symantec推出的數碼證書,不少有保安隱患有關。
由於中國相當多銀行都仍然採用Symantec的證書,如果中國的銀行不改變或更新數碼證書的話,相信這將會造成極大的問題。但比起谷歌對付WoSign,或CNNIC的證書,由於仍然給予網站擁有人相當充裕的時間更新,相信暫時影響有限。谷歌會在Chrome62版開始發出警告訊息,因此,有可能年底瀏覽網上銀行網站時,會經常受到Chrome的警告訊息影響,而這影響會維持多久,要視乎中國各大銀行對更新數碼證書所持的態度。
問∶無論現時iPhone8或以下所用的Touch ID也好,未來的iPhone X用的Face ID都好,都其實要配合一個密碼,而蘋果容許設定輸入密碼次數多過十次後,就將所有資料刪除,但需要作出設定,那應如何設定?
李建軍∶現時蘋果 iOS10已經可以設如果輸入密碼次數多過十次後,就將手機所有資料刪除,如果想防止自己的手機落入公安或國保手中出現資料泄漏,你應該作出這個設定,只不過預設是將這項功能關閉,要自己開啟的。這次翻牆問答,我準備了視頻,示範如何在iPhone啟動這項功能,歡迎各位聽眾瀏覽本台網站,收看有關視頻。如果這功能啟動後,相信就算有人偷了你的手機,都不能取得手機內的關鍵資料,如果你可能在公安的目標的話,我個人建議啟動這個功能。
