軟件利用第三方SDK
大家應還記得特區政府之前推出的安心出行軟件,政府以知識產權為由拒絕開源,大眾擔心內裏有侵犯私隱的程序。後來有專家踢爆安心出行內藏人臉識別功能,政府稱從未使用該功能,並最終從模組中刪除。問題是政府既然無意使用,又無提出技術要求,為何開發商會「加料」?答案就是SDK。SDK是Software Development Kit的簡稱,即軟件開發套件,是提供給軟件開發人員的工具,並可高效地構建於應用程式內,以加快開發及節省成本。國際科技龍頭例如谷歌、Meta、亞馬遜、微軟等均是大量SDK提供者,鼓勵軟件開發。中國企業例如騰訊、華為、百度等亦大量提供SDK。軟件開發商廣泛使用第三方提供的SDK非常普遍,選擇哪個提供者則各自有考量。有時軟件可能只需要SDK的部份功能,但軟件商貪方便將慣用的SDK放在軟件程式內,令軟件「加料」。一般用家依靠作業平台對軟件把關,透過官方渠道下載的軟件就假設沒有問題。事實上平台把關有限,用家極難知道軟件背後使用甚麼SDK。如果SDK有其它功能,即使軟件不啓用,不能排除SDK自行啟動。若使用中共企業提供的SDK,更可能將資料傳送至中國的伺服器,讓中共取得這些資料。
利用SDK入侵私隱
美國巴克萊大學旗下的國際電腦科學研究所ICSI,20年8月發表了一份研究報告,深入分析一家位於深圳的企業Jiguang (极光)提供的一個叫JPush的SDK,該企業在網站自稱有百萬軟件及260億個流動裝置使用。研究發現JPush有入侵性監控用戶的行為。除了收集GPS位置及路由器MAC,還會取得裝置的唯一識別碼,記錄及傳送所有安裝軟件的名單,即使軟件未有被啟動,JPush會當裝置啟動時自動執行,收集相關資料後傳送至中國的伺服器。研究還發現一些極不尋常的開發行為,這些行為經常在惡意軟件中可見,包括使用明顯失誤的加密方式傳送資料,及不穩妥的傳送協議,讓第三方輕易截取資訊。研究包括17個軟件隱含Jpush,當中下載次數超過百萬的有六個,其中一個線上派對及遊戲叫Hago的軟件下載量更超過1億。用家必須清楚,收集位置就等同跟蹤,取得你的軟件清單,就可對你的行為喜好政治傾向等作判斷。只要收集Wi-Fi的MAC,連同GPS資料就可製作Wi-Fi地址庫,一旦從其他途徑得到你曾經連線的Wi-Fi的資料,就可得出你「在場」的證據。使用含有Jpush軟件的用戶,不但私隱被入侵,還協助極權製作大數據。筆者附上該文件的連結,建議讀者仔細看看,了解那些入侵私隱的惡毒手法,有助提高警覺。
檢查軟件互聯網傳輸
報告帶出極重要的信息,就是第三方SDK生態圈存在嚴重資訊安全缺口,例子只屬冰山一角。報告發出之後,即使谷哥更新SDK私隱政策,儘量阻止類似的入侵性監控,成效仍有代驗證。防範這類風險頗為困難,因為一般用家極難知道軟件背後使用甚麽SDK。筆者建議保守方法應對。首先,安裝軟件必須十分審慎,只安裝必須的且信譽極佳的軟件。其餘情況應使用網頁版處理,避免安裝任何軟件。儘量選擇開源的軟件,非開源的須查清軟件開發商底細。強迫安裝的須利用另一部「乾淨手機」處理。當你決定要安裝非開源軟件,你可利用之前本欄介紹的開源軟件Netguard,啟動記錄所有網址接觸,啓動截住該軟件的所有互聯網傳輸功能,然後針對每個網域逐一查清底細,若有任何可疑或不明傳送,例如與中共控制的伺服器接觸,馬上解除軟件安裝。你亦可用上期介紹的個人化DNS,先截住所有傳送及開啟記錄,然後安裝軟件,仔細檢查所有非開發商的連線,將開發商的連線放入白名單,測試軟件能否正常運作。另外,極權國家剝奪民眾選擇權.強迫使用其軟件,其民眾的手機成為協助極權收集大數據的工具,所以不得不假設極權已制定WiFi MAC地圖,所以使用第三方Wi-Fi必須確定隨機MAC已開啓,用畢後刪除Wi-Fi連線記錄。
即使軟件有多「正氣」,若使用SDK欠透明度,內藏機關就可為所欲為。這個SDK生態圈安全漏洞一日不堵塞,用戶必須自保,防止軟件利用SDK 「穿櫃桶底」,侵犯你的私隱。 ◇
[註]JPush Away Your Privacy:A Case Study of Jiguang's Android SDK https://www.icsi.Berkeley.edu/icsi/node/6407
----------------------
🎯 專題:中共海外升級攻擊法輪功
https://hk.epochtimes.com/category/專題/中共海外升級攻擊法輪功
----------------------
【不忘初衷 延續真相】
📰周末版復印 支持購買👇🏻
http://epochtimeshk.org/stores
🔔下載大紀元App 接收即時新聞通知
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand
