【翻墙问答】如何面对类似「冬奥通」一类不安全官方应用程式
时间:2022-01-29 来源:rfa 作者: 条评论
2022年1月19日,北京天安门广场上,一名男子在北京冬奥装置前用手机录影。
法新社
问:根据加拿大多伦多大学「公民实验室(Citizen Lab)」的一份研究报告称,每一位参与北京冬奥工作人员和运动员都必须安装的手机应用程式「冬奥通」,存有严重安全漏洞,并摆明车马安装了一个敏感字列表,用作审查工作人员和运动员言行。国际奥委会声称程式经过苹果以及谷歌的保安审查,为何苹果和谷歌会容许冬奥通这类程式上架?
李建军:虽然对大部分商用程式,苹果和谷歌都会从严把关,但对「冬奥通」这类程式就完全另一回事。因为「冬奥通」这类程式,后面有国际奥委会之类大型机构撑腰,又具有冬奥官方应用程式的身份,而且这类应用程式,实际只在冬奥期间使用,随后会被删除。因此,谷歌和苹果为避免得罪国际奥委会以及中国当局,对程式的问题「只眼开,只眼闭」亦很正常。特别今年冬奥气氛如此淡,相信实际会下载有关应用程式的人并不多。
问:「公民实验室」发布的研究结果,是否代表之前荷兰政府要求工作人员和选手,到北京参赛期间不要带个人手机及电脑,属正常的做法?
李建军:相信荷兰政府部门,做了类似多伦多大学「公民实验室」的研究,才会作出结论,要求运动员携带使用新手机,以策安全。因此,在必须要安装中国当局所写应用程式的场合,有关手机是不可作其他用途或储存敏感资料﹐亦应成为常识。因为几乎可以肯定,中国当局所推出的程式,都必然有敏感词过滤表,以及将你的个人资料传到不明来历地方等可疑功能。
问:根据「公民实验室」的研究,「冬奥通」的加密通讯并不完整,所使用的数码证书亦有问题,在现代社会许多大机构的官方应用程式,这种错误理应都不被容许,为何这种情况会出现在有众多重要人物出席的冬奥会场合?
李建军:在正常情况,应用程式的数码证书必须妥为认证,由有公信力的机构发出,令应用程式可以安全运作,免受第三者拦截资料。但中国的情况比较特别,中国当局有可能需要由一些神秘部门出手去拦截资料,所以一些日常程式保安设计的常规,反过来变成中国当局偷取目标人物资料的障碍。因此,中国当局所推出的官方应用程式一样十分之危险,与中国当局故意留有后门作监控之用的不良做法有关。大部分官方应用程式都可以假定是安全,只不过,中国的情况就肯定是例外的。
问:中国当局既然会利用官方应用程式进行监控,那肯定需要一部专用手机去运行这些应用程式,那使用专用手机时,又有甚么要特别注意?
李建军:首先,专用手机不能连接家中的Wi-Fi,特别如果你的家中Wi-Fi长期连接VPN翻墙,就更不能连接,因为你并不清楚那些官方应用程式,到底会收集甚么资料。因此,专用手机只能用流动电话的公共网络。这或许要花费一点费用,但在保障家中网络安全的角度,这一丁点费用仍然是值得付出。
另一方面,你的专用手机绝对不可以储存任何敏感资料,唯一用途就是执行各式各类的政府官方程式。为免当局用相关手机作监控用途,你应该买一些可以拆电池的手机,平常不用时拆除电池。如果买不到可拆电池手机,就不应长期充电,要用时才充电,以杜绝应用程式内置录音功能,在神不知鬼不觉静静录音的问题。除了要扫 QR Code等场合,平日用胶纸封相机镜头以策安全,定时定候彻底清除手机内容,重装相关应用程式。总体而言,这部手机是少用为妙,所以一些比较旧的手机反而适合用作专门执行不安全的官方应用程式。
