翻墙问答:Android平台又发现有保安危机

问:继iOS出现隐藏有问题的危险程式码后,Android平台又发现因使用有问题程式码引发的保安危机,而且又与中国有关,能否讲解一下?

李建军:趋势科技最近发现,使用百度Moplus SDK所编写的Android程式,内里有不少危险功能,包括在你的手机建立一个HTTP主机,然后在百度的主机遥控下,存取你手机通讯相关的资料。现时世界上有万多个Android程式使用Moplus SDK编写,包括四千多个与百度相关的手机应用程式。这对普遍Android手机、平板电脑以至机顶盒用家构成保安和私隐上的威胁。

问:百度声称己经更新了Moplus SDK,指有关问题已经解决,但事实是否如此?

李建军:虽然百度声称已经更新了Moplus SDK,但使用Moplus SDK所写的程式是否真的安全,仍然是很大的问号,因为趋势科技发现Moplus SDK有不少危险的监控功能,仍然在新版保留下来。换言之,除非百度彻底改变Moplus SDK的设计以及背后理念,否则任何使用Moplus SDK所写的Android应用程式都是不安全。

另一方面,百度更新了SDK都好,由于Android并不存在类似苹果App Store的审查机制,软件作者不主动更新SDK并推出新版的话,你的手机就会仍然不安全。而软件作者在现行机制下,并无太大的动力去更新SDK,因此,问题比iOS的XCodeghost事件更加麻烦。听众如果发现自己使用的软件用了Moplus SDK,很可能要停用一段时间,甚至需要寻求替代软件。

问:那我怎知道自己使用的Android应用程式,是否已经受到有问题的Moplus SDK感染?

李建军:首先,百度公司自己推出的软件,都肯定有用Moplus SDK,所以对大部分使用Android手机、平板电脑和机顶盒的听众,移除百度地图、百度浏览器,甚至由百度推出的私隐保护程式,是最有效确保自己的手机不会受Moplus SDK感染的方法。

此外,安装外资软件公司推出的Android防毒软件,在安装软件前经防毒软件检查,在确认未受感染后才安装,是有效防止受Moplus SDK感染的方法。而在这次事件,中国公司的防毒软件是绝对不能用,因为Moplus SDK是由中国大公司自己主动植入,并非黑客的杰作,或中国当局或硬件制造商未通知用户情况下植入病毒或木马,换言之,其他中国公司推出防毒软件,很可能对Moplus SDK视而不见。而由百度的做法来看,其他中国公司所写的软件,亦可能同样存在一些古古怪怪的后门,只不过未被海外的专家的发现。坚持使用中国公司推出的软件,只会增加你的Android设备感染木马或病毒的风险,令你自己的资料落入中国当局手中而懵然不知。

问:在接二连三都有手机、平板电脑或机顶盒应用程式,受中国公司或个人所散布的有问题程式码影响下,除了不用中国防毒软件,避免使用中国软件,是否是确保自己个人资讯安全的最有效方法?

李建军:在Android平台,避免使用中国软件,几乎是最彻底和有效保障自己资讯安全的方法,因为无论Google Play,还是其他机制,都无法保证软件不会受到中国公司或个人开发的古怪程式码污染。

在iOS平台,这个问题没有这么严重,因为只要你不对手机越狱,苹果App Store的审查机制,仍然相对有效阻止中国公司或个人的奇怪程式码大规模污染,就算出现大规模污染,苹果仍然可以透过App Store机制下令软件下架,防止情况进一步恶化。当然,能避免使用中国的程式,那就更加安全。

原文:http://www.rfa.org/cantonese/firewall_features/moplussdk-11062015073511.html?encoding=simplified

发表评论

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 更改 )

Twitter picture

You are commenting using your Twitter account. Log Out / 更改 )

Facebook photo

You are commenting using your Facebook account. Log Out / 更改 )

Google+ photo

You are commenting using your Google+ account. Log Out / 更改 )

Connecting to %s