軟件要用戶開空頭支票
前周,推特一名高層發送訊息指WhatsApp趁他在睡覺時在背景使用咪高風,馬斯克隨即回應「不能信任WhatsApp!」,引起廣泛關注。最後證實是一個安卓系統的漏洞,引致權限偵測軟件出錯,並非WhatsApp不當使用權限。事件雖然屬虛驚一場,但亦再次提醒用戶,手機軟件擁有大量權限,若果軟件不當使用權限,真是要風得風。軟件需要利用手機的不同功能及硬件,所以需要各種權限完成操作,似乎合理。以WhatsApp安卓版為例,要求的權限達66個,WeChat更多達71個。原本設定權限的目的是保障私隱及促進資訊安全,但大前提是先要知道每個權限的意思,軟件要求每一個權限清楚描述,且讓用戶對每個權限有控制權。實情是除非你是軟件開發者,一般用戶難以理解大部份權限內裏乾坤,且絕大部份軟件只提出要求某權限,卻沒有解釋理由,在權限下會作出甚麼動作。Signal 通訊軟件亦要求了70個權限,但與其它通訊軟件的大不同是Signal將權限要求的理由及使用清楚列明,而且軟件屬開源,用家可以核對。缺乏透明度的軟件,若果用家為了使用軟件而草草同意安裝條款,等同簽署空頭支票。
高風險權限不受控制
安卓系統自推出以來其中一大問題就是用戶對權限控制不足。系統已是第13版,雖然已強化了用戶控制私隱權,將權限集中化處理,但用戶能夠控制的權限只有十個八個,包括使用錄音、鏡頭、精準位置、讀取聯絡人等等。當然這些都是極重要的權限,但其餘數十個用戶不能控制權限,可對私隱構成重大威脅,而很多用戶未有意識到。例如讀取手機狀態及身份的權限可取得SIM資料及手機IMEI,在實名制下軟件取得任何訊息可與你身份聯繫。若你正使用已知地址的Wi-Fi,查看Wi-Fi連線的權限就可知道即時位置。若你安裝一個極少人使用或特別的軟件,查看正在執行的軟件的權限就可透露身份或財富資料。擁有更改外置儲存的權限就等同取得手機內部儲存空間的存取權,原本目的是讓軟件存其相關資料,但同時亦可存取其它資料,若手機被黑客入侵,或軟件存在漏洞,就可被第三者讀取你手機內存。軟件可在背景不斷行使權限,連專家都要研究才察覺,一般用家根本毫不知情。僅數個未能控制的權限便可對私隱如此,更何況還有其它幾十個。這些權限長期被極權控制的軟件利用得非常順手,用來竊取資訊及監控民眾,其魔爪更伸延全球。
小心選擇軟件是上策
手機平台設計令你處於下風,若要控制風險,筆者建議如下。其一,在可控制的範圍之內盡量控制。先關掉所有能控制的權限,令軟件使用權限時必須詢問,確保軟件在你知情之下行使這些權限。大部份用家都忽略了將感應器包括加速感應、光敏、陀螺儀、磁感等關掉的選項,這選項可在啟用開發者模式後啟動。其二,安裝監察軟件,例如上述,推特員工就利用開源軟件Privacy Dashboard記錄部份重要權限的使用,若有任何可疑權限被行使,應即時停止該軟件運作,進一步調查。其三,使用沙盒,例如開源軟件Shelter。將軟件安裝在沙盒之內,軟件只能在沙盒範圍內運作,與沙盒外資料與軟件切割,沙盒還可將在內軟件的背景執行停止。減少權限被濫用時的損失。你亦可考慮設立不同帳戶安裝不同軟件。其四,利用防火牆軟件,例如開源軟件Net Guard,你可選擇將某個軟件的網上傳輸完全截斷,需要時才開啟傳輸,對於一些離線仍能運作的軟件切斷傳輸非常有效,但要留意某些軟件可能將資料預先儲存,然後等連線成功後傳送。最後,亦是最有效的方法,就是嚴格審視為何一定要安裝某軟件,並在安裝軟件之前查清其底細,盡量選擇一些透明度高對權限清楚描述的軟件,避開極權直接或間接控制的軟件。若要安裝,亦可考慮在安桌電腦模擬器安裝,甚至使用一些付費的安卓雲端軟件即服務(SaaS) ,避免在個人手機安裝。
上述分析針對安卓平台,但當中的考量其他平台一樣適用。一旦用戶簽署了權限的「空頭支票」,軟件就可為所欲為,侵犯私隱,協助政權監控。是時侯立刻煞停,否則空頭支票越簽越多,早晚要找一筆大數。◇
------------------
🗞️9.17暫別實體 立即預購
https://bit.ly/buybyepaper
🔔下載大紀元App 接收即時新聞通知
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand
