1.原文连结:
※过长无法点击者必须缩网址
https://p.dw.com/p/3hWf7
2.原文内容:
作者:Fabian Schmidt
TikTok、微信和成千上万来自中国的App看似无害,其实夹带着恶意插件,而且巧妙隐藏
了来源。手机用户该如何保护自己的讯息不被侵害呢?
(德国之声中文网)
由中国企业开发的TikTok以及其他手机应用程式被指控窃取用户个人讯息,而这些讯息与
App的实际功能无关,没有合理的收集理由。
IT安全专家斯特罗贝尔(Stefan Strobel)表示:“TikTok和其他夹带恶意插件的App并
不无辜,这也不是恶意中伤,因为这些App的开发者从一开始就在他们的应用软件里加装
后门、间谍功能以及其他东西,而且还努力不使人注意到。”
斯特罗贝尔是IT安全顾问公司CIROSEC的创始者兼总裁,为德国中小企业提供IT安全咨询
服务,部分客户在中国有业务活动。因此,斯特罗贝尔对于中国开发的App也有颇为深入
的了解。他认为,用户群庞大的TikTok以及微信只是冰山一角。
微信是个通用的应用软件,除了收发讯息和支付功能外,还与其他社群网站应用程式结合
。微信在中国被广泛使用,IT专家们毫不怀疑地认为,所有流经微信的讯息几乎都被中国
政府记录下来。
我的App里隐藏了什么?
此外,还有数千个多数为免费的APP,甚至商业应用程式也有此类问题。斯特罗贝尔指出
:“我们越来越常注意到,出于某些原因,开发商投入了许多资源,让分析App变得更困
难。如果努力尝试破解里头的保护功能并探究其编程方式,会发现各种讯息都被收集并送
往中国。而这些讯息其实没有收集的必要。”
许多应用程式乍看之下不起眼而且无害。起初它只是安装一个小小的后门,以利骇客日后
使用。“就算你现在看这些App、看上去一切无害,但中国开发商通常能在使用期间延展
它的功能。你不需要再次在App商店中下载这个软件,它就能突然增加其他的操作。”
无所谓的心态要不得
斯特罗贝尔表示,这与西方软件开发商定期提供的App实时更新不同。中国间谍App的“运
行中更新”不能与微软Office系统的更新相提并论。“作为客户端,我可以同意微软Of-
fice进行更新。中国的应用软件则是在用户毫不知情的情况下更新,甚至可能是在用户正
在使用App的当下。”
TikTok就是一个非常巧妙的例子。最初它伪装成有趣且无害的软件,但它对用户讯息的渴
求却随着时间以及软件的成功与日俱增。直到大量用户使用这个软件后,就会出现牵引效
应。斯特罗贝尔分析此类软件的策略称:“当这个App占据了引领潮流的地位并且大受欢
迎时,人们会说:‘嘿,我也要用这个!’接着开发商会逐渐延伸其权限,而已经安装软
体的用户就必须同意更多条款。”
开发商以此类方式扩大使用者赋予App的权限。许多用户根本不清楚App要求了什么样的权
限。当App跳出一个对话框时,他们只是下意识点选同意。如此,App便能取得用户实时位
置,随时得知他们身处何地,甚至可能取得手机联络人或是行事历讯息。想要使用App,
就必须接受这些条件。
系统预装的恶意软件
不仅是用户主动在App商店中下载的应用软件有此类情况。在购买智慧型手机时,里头经
常已经预先安装了恶意软件。美国网络安全公司Kryptowire首席执行官斯塔夫鲁(Ange-
los Stavrou)表示:“许多智慧型手机运营商使用第三方开发软件,却不知道它的来源
以及编程者为何人。恶意软件成了制造链的一部分,很快就能使其受到侵蚀。”
该公司去年在26家制造商的安卓手机预装应用软件中发现了146个安全风险,这些软件可
能是来自电信公司、电子产品商店等。斯塔夫鲁在2020年IT防御大会期间向德国之声透露
,目前又增加了上百个安全漏洞。
Kryptowire的研究总监约翰逊(Ryan Johnson)举了用于更改字体的小程序“Lovelyfon-
ts”和“LovelyHighFonts”为例。这两个程序号称是单纯的字体程序,能使手机屏幕上
显示的字体更生动有趣。
事实上,这些程序会在用户不知情的情况下对手机发动攻击,打包手机中的加密数据,并
在手机闲置时将数据发送给位于上海的一个服务器。
约翰逊表示:“我们发现的部分程序拥有系统特权,是作业系统的一部分。使用者无法将
其关闭。如果此类应用程式有缺陷,用户无法做出任何应对。”
软件开发藏风险
与苹果的IOS系统相比,安卓更容易受到恶意软件的危害。原因在于,苹果一手掌握了其
手机开发及App商店,在发现恶意软件时可以更快速地应对并将其移除。
安卓系统则需要更多反应时间。安卓的一个开源项目(ASOP)提供软件开发者所需的讯息
和原始码。开发商若想要推出新智慧型手机,可以在代码库中寻找客户可能会喜欢的软件
搭配组合。约翰逊警告:“所有ASOP中的安全漏洞都由此转移给手机供应商。”
IT安全专家斯特罗贝尔也认为,混乱的制造、开发和经销结构形成了安全风险。“里头有
许多参与方,对应一个分散的市场。由于有许多硬件制造商对作业系统作出修改并贴上自
己的标记,导致一切变得不够安全。”
恶意软件藏在程序工具中
苹果并非完全幸免于此类攻击,2015年源自中国的XcodeGhost风波便是一例。这个恶意代
码潜伏在苹果的程序开发工具Xcode中,而程序设计者需要Xcode 来编写MacOS或IOS系统
的应用软件。
斯特罗贝尔指出:“如果下载的是苹果官方Xcode并用其开发App便不会出现状况。但如果
通过无需付费的灰色渠道取得Xcode,恶意代码会被自动植入App中,这就会出现问题。”
当时约有4000个应用程式在开发者不知情的情况下被注入恶意代码。看上去是个庞大的数
字,但与目前苹果App商店中近200万个应用程式相比,这个数字只是九牛一毛。但IT专家
斯特罗贝尔也必须承认,XCodeGhost确实是非常专业的骇客手法:“从骇客的角度来评价
,通过开发环境,在App开发期间就植入恶意代码,手段极为高明。”
手机比电脑安全
使用者能做些什么来确保手机的安全?令人惊讶的好消息是:智慧型手机的安全性比想像
中更高。
斯特罗贝尔表示:“无论是安卓或IOS,智慧型手机作业系统的基本概念是,App会在沙盒
中运行,只具备非常有限的权限。”
如果作业系统没有开放的安全漏洞,恶意软件也无法访问用户在其他App中执行的操作,
甚至是攻击作业系统。斯特罗贝尔指出,智慧型手机通常比一般电脑更安全。“例如IOS
比一般的Windows 10系统电脑安全。这是因为即便作为使用者,我在IOS手机中也没有管
理权限,但在我的电脑上却拥有这些权限。”
取决于使用者
重要的是随时保持警惕。不要将所有看似有意思的东西安装在自己的手机上。对于应用程
式拥有哪些权限,使用者不仅应心里有数,也不要随意批准所有权限。
在各种有关中国间谍软件的警告以及制造商缺乏透明度的情况下,是否还要使用中国制造
商推出的智慧型手机,最终取决于个人。
企业可以通过中央设备管理(即所谓的MDM功能),保护发放的业务用手机安全性。通过
上述管理系统,企业能决定手机上只能安装特定App,或使用者可与哪些网络连线。虽然
这样的限制会减少手机使用的乐趣,但至少能确保数据都完好地保存在手机里。
3.心得/评论:
※必需填写满20字
单观美国政府近期针对中国的种种政策,即可得知,主要症结点还是在于诸如腾讯、字节
跳动等公司,在资讯安全、个资问题方面管理不善。
而且,若再就中国商务部与科技部调整《限制出口技术目录》的背后主因进行推测,即可
知晓他们的恐惧到底在于何处了。