【翻牆問答】 API洩用戶私隱 中國Google Play大批App下架

2017-08-25
電郵
評論
Share
打印

【翻牆問答】 如何在iPhone關閉iCloud Keychain功能

問:近日有大批Google Play上的App被突然下架,而大部分下架的App,都被指與中國一間公司個訊所推出的API有關,懷疑相關API不斷將用戶資料傳到個訊的中央主機之上,造成私隱上的困擾。那到底,是怎樣的一回事呢?

李建軍:這次Google Play被下架的程式,多達500多個,全部都是用了中國一間公司個訊的API。個訊公司聲稱,由於API使用Javascript的更新功能,違反了谷歌公司的要求而被下架。但在海外的保安公司,就發現個訊的API涉嫌將用戶的私隱,源源不絕傳到個訊在中國的主機,引發對私隱的疑慮,因此,谷歌才下令使用個訊API的程式都要下架,在作出修改並通過審批後,才可以重新在Google Play上架,讓用戶下載、購買,或者更新。

近年不少網絡遊戲App,都會帶有廣告,而個訊API本來是為投放廣告而開發。但中國的公司,往往漠視各國私隱法律的要求,亦無視用戶的私隱,不斷將沒必要搜集的用戶資料都搜集。因此,如果手機內含敏感私隱資料,最好不要用來玩手機遊戲,亦要小心個別含有廣告的免費軟件。就算由其他國家出產的App,都不一定百分百安全,因為不少公司為開拓中國市場,或減低成本,都將程式的開發工作移到中國進行,而中國的程式員為了貪圖方便,往往使用這些有問題的API。

而這些事件反映出,谷歌的Google Play,以致蘋果的App Store保安審查機制是相當有效而且嚴謹,由這些程式商店下載的是最安全,相反,自行下載的APK,本身不一定可靠,而未經谷歌審批的程式,當中不少可能帶有保安風險。因此,中國手機生產自行提供的程式商店,必須要小心提防。

問:不少iOS用戶,都會用iCloud keychain去管理自己的密碼,只不過有保安專家發現,iCloud keychain有可能被執法人員在扣留手機的時候,一併將各類密碼取走,那對中國用戶而言,iCloud keychain這個如此好用的功能,又應否使用?

李建軍:iCloud keychain在設計上確實存在一些弱點,可以讓執法人員在扣留手機後,只要知道Apple ID,而手機又是被信任的裝置,就可以取走keychain上所有密碼,所以如果你是一些受當局監控人士,使用iCloud keychain的確有風險,所以不建議使用。

如果你的Apple ID是在中國的話,就更加不要用iCloud keychain,一方面,中國用戶的iCloud數據中心在中國國有電訊公司網絡內,與你的資料存於中國國有電訊公司一樣。另一方面,亦不清楚蘋果中國分公司,與中國當局有多大程度上的合作,當你的資料並未受西方國家私隱法律保護之下,貿然使用iCloud keychain,是十分危險的行為。在iOS平台其他密碼管理程式或服務,可能更為安全可靠,沒必要一定要用iCloud keychain的服務。就算將Apple ID搬離中國,由於iCloud keychain有的問題是屬於設計上的,因此並不建議使用。但如果是用海外的Apple ID,由於帳戶受到海外的私隱法律保障,而主機亦不設於中國境內,有可能設於法律比較嚴謹的國家境內,蘋果中國分公司未必容易可以將你的資料交予中國當局,相對上比較安全。但暫時未看到有任何必要性,必須使用iCloud keychain。

這次翻牆問答,我們準備了視頻,示範如何在iPhone或iPad關閉iCloud keychain功能,歡迎各位聽眾瀏覽本台網站,收看有關視頻。

Edge及Safari用戶可直接點擊收聽
其他瀏覽器用戶請點此下載播放插件

完整网站