由中國企業開發的TikTok以及其他手機應用程式被指控竊取用戶個人信息,而這些信息與App的實際功能無關,沒有合理的收集理由。
IT安全專家斯特羅貝爾(Stefan Strobel)表示:"TikTok和其他夾帶惡意插件的App並不無辜,這也不是惡意中傷,因為這些App的開發者從一開始就在他們的應用軟件里加裝後門、間諜功能以及其他東西,而且還努力不使人注意到。"
斯特羅貝爾是IT安全顧問公司CIROSEC的創始者兼總裁,為德國中小企業提供IT安全諮詢服務,部分客戶在中國有業務活動。因此,斯特羅貝爾對於中國開發的App也有頗為深入的了解。他認為,用戶群龐大的TikTok以及微信只是冰山一角。
微信是個通用的應用軟件,除了收發信息和支付功能外,還與其他社交媒體應用程式結合。微信在中國被廣泛使用,IT專家們毫不懷疑地認為,所有流經微信的信息幾乎都被中國政府記錄下來。
我的App里隱藏了什麼?
此外,還有數千個多數為免費的APP,甚至商業應用程式也有此類問題。斯特羅貝爾指出:"我們越來越常注意到,出於某些原因,開發商投入了許多資源,讓分析App變得更困難。如果努力嘗試破解裏頭的保護功能並探究其編程方式,會發現各種信息都被收集並送往中國。而這些信息其實沒有收集的必要。"
許多應用程式乍看之下不起眼而且無害。起初它只是安裝一個小小的後門,以利黑客日後使用。"就算你現在看這些App,看上去一切無害,但中國開發商通常能在使用期間延展它的功能。你不需要再次在App商店中下載這個軟件,它就能突然增加其他的操作。"
無所謂的心態要不得
斯特羅貝爾表示,這與西方軟件開發商定期提供的App實時更新不同。中國間諜App的"運行中更新"不能與微軟Office系統的更新相提並論。"作為客戶端,我可以同意微軟Office進行更新。中國的應用軟件則是在用戶毫不知情的情況下更新,甚至可能是在用戶正在使用App的當下。"
TikTok就是一個非常巧妙的例子。最初它偽裝成有趣且無害的軟件,但它對用戶信息的渴求卻隨着時間以及軟件的成功與日俱增。直到大量用戶使用這個軟件後,就會出現牽引效應。斯特羅貝爾分析此類軟件的策略稱:"當這個App佔據了引領潮流的地位並且大受歡迎時,人們會說:'嘿,我也要用這個!'接着開發商會逐漸延伸其權限,而已經安裝軟件的用戶就必須同意更多條款。"
開發商以此類方式擴大使用者賦予App的權限。許多用戶根本不清楚App要求了什麼樣的權限。當App跳出一個對話框時,他們只是下意識點選同意。如此,App便能取得用戶實時位置,隨時得知他們身處何地,甚至可能取得手機聯絡人或是行事曆信息。想要使用App,就必須接受這些條件。
系統預裝的惡意軟件
不僅是用戶主動在App商店中下載的應用軟件有此類情況。在購買智能手機時,裏頭經常已經預先安裝了惡意軟件。美國網絡安全公司Kryptowire行政總裁斯塔夫魯(Angelos Stavrou)表示:"許多智能手機運營商使用第三方開發軟件,卻不知道它的來源以及編程者為何人。惡意軟件成了製造鏈的一部分,很快就能使其受到侵蝕。"
該公司去年在26家製造商的安卓手機預裝應用軟件中發現了146個安全風險,這些軟件可能是來自電信公司、電子產品商店等。斯塔夫魯在2020年IT防禦大會期間向德國之聲透露,目前又增加了上百個安全漏洞。
Kryptowire的研究總監約翰遜(Ryan Johnson)舉了用於更改字體的小程序"Lovelyfonts"和"LovelyHighFonts"為例。這兩個程序號稱是單純的字體程序,能使手機屏幕上顯示的字體更生動有趣。
事實上,這些程序會在用戶不知情的情況下對手機發動攻擊,打包手機中的加密數據,並在手機閒置時將數據發送給位於上海的一個伺服器。
約翰遜表示:"我們發現的部分程序擁有系統特權,是作業系統的一部分。使用者無法將其關閉。如果此類應用程式有缺陷,用戶無法做出任何應對。"
軟件開發藏風險
與蘋果的IOS系統相比,安卓更容易受到惡意軟件的危害。原因在於,蘋果一手掌握了其手機開發及App商店,在發現惡意軟件時可以更快速地應對並將其移除。
安卓系統則需要更多反應時間。安卓的一個開源項目(ASOP)提供軟件開發者所需的信息和原始碼。開發商若想要推出新智能手機,可以在代碼庫中尋找客戶可能會喜歡的軟件搭配組合。約翰遜警告:"所有ASOP中的安全漏洞都由此轉移給手機供應商。"
IT安全專家斯特羅貝爾也認為,混亂的製造、開發和經銷結構形成了安全風險。"裏頭有許多參與方,對應一個分散的市場。由於有許多硬件製造商對作業系統作出修改並貼上自己的標記,導致一切變得不夠安全。"
惡意軟件藏在程序工具中
蘋果並非完全倖免於此類攻擊,2015年源自中國的XcodeGhost風波便是一例。這個惡意代碼潛伏在蘋果的程序開發工具Xcode中,而程序設計者需要Xcode來編寫MacOS或IOS系統的應用軟件。
斯特羅貝爾指出:"如果下載的是蘋果官方Xcode並用其開發App便不會出現狀況。但如果通過無需付費的灰色渠道取得Xcode,惡意代碼會被自動植入App中,這就會出現問題。"
當時約有4000個應用程式在開發者不知情的情況下被注入惡意代碼。看上去是個龐大的數字,但與目前蘋果App商店中近200萬個應用程式相比,這個數字只是九牛一毛。但IT專家斯特羅貝爾也必須承認,XCodeGhost確實是非常專業的黑客手法:"從黑客的角度來評價,通過開發環境,在App開發期間就植入惡意代碼,手段極為高明。
手機比電腦安全
使用者能做些什麼來確保手機的安全?令人驚訝的好消息是:智能手機的安全性比想像中更高。
斯特羅貝爾表示:"無論是安卓或IOS,智能手機作業系統的基本概念是,App會在沙盒中運行,只具備非常有限的權限。"
如果作業系統沒有開放的安全漏洞,惡意軟件也無法訪問用戶在其他App中執行的操作,甚至是攻擊作業系統。斯特羅貝爾指出,智能手機通常比一般電腦更安全。"例如IOS比一般的Windows10系統電腦安全。這是因為即便作為使用者,我在IOS手機中也沒有管理權限,但在我的電腦上卻擁有這些權限。"
取決於使用者
重要的是隨時保持警惕。不要將所有看似有意思的東西安裝在自己的手機上。對於應用程式擁有哪些權限,使用者不僅應心裏有數,也不要隨意批准所有權限。
在各種有關中國間諜軟件的警告以及製造商缺乏透明度的情況下,是否還要使用中國製造商推出的智能手機,最終取決於個人。
企業可以通過中央設備管理(即所謂的MDM功能),保護髮放的業務用手機安全性。通過上述管理系統,企業能決定手機上只能安裝特定App,或使用者可與哪些網絡連線。雖然這樣的限制會減少手機使用的樂趣,但至少能確保數據都完好地保存在手機里。
