專家：系統太開放 Android天生易洩密 iOS比它做得更好

 
蔡建華(右)指，iOS的保安比Android做得更好。
圖片來源：香港文匯報

近日世界各地在資訊科技保安方面連番出現問題，先有好萊塢女星裸照事件，再傳出大陸手機應用商店會「改裝」WhatsApp、facebook等軟件，將登入者的個人訊息傳到大陸，令一眾智能手機用戶人人自危。連小學生亦知道電腦需要安裝防毒軟件，以免病毒入侵，但一般人很容易就會忽略了智能手機的保安。事實上，現今人人手握一部智能手機，可能內藏不少私人照片、個人資料、密碼等，手機的保安早就比電腦更為重要。

現時智能手機市場上主要的作業系統，分別是蘋果公司開發的iOS以及Google開發的Android。研究電腦及手機系統十多年的趨勢科技產品協理蔡建華就直言，iOS的保安比Android做得更好，Android的保安有嚴重問題。

香港《文匯報》報導，Android系統自面世以來，一直開放予不同手機生產商使用，並沒有如iOS般諸多限制，得到各國手機開發者垂青。在「機海」泛濫的環境下，市佔率更遠比iOS為高。不過「水能載舟，亦能覆舟」，過度開放令Android的保安容易出現漏洞。

縱然Android可能漏洞多多，但亦不代表封閉的iOS就必定安全，早前就懷疑因iCloud漏洞，令不少荷里活女星的裸照外洩。雖然後來蘋果CEO庫克證實並非因iCloud存在漏洞，而是駭客通過正確回答安全問題取得一眾女星的密碼，但用戶切忌掉以輕心。

蔡建華就建議大家使用iCloud時應用上「雙重認證」，即每次輸入密碼的同時，要通過手機短訊或保安編碼器取得一組隨機的密碼。他補充指，現時很多網上銀行均有類似的保安編碼器，iCloud亦有類似的系統，但大部分用戶因麻煩棄用。如不想用「雙重認證」，蔡建華建議市民可選購市面上一些密碼管理軟件，可為每個網站生產一個複雜的密碼，用戶只要記住一個最基本的密碼，便可以登入不同的網站。

對於手機保安，蔡建華就建議用戶應購買可靠的防毒軟件，「不要以為用手機就不會中毒，不需要防毒軟件」。不過亦不要以為在Google Play上架的軟件就一定可靠，早前就有一隻名為「Virus Shield」的應用程式(App)，在Google Play以3.99美元發售，最終數千人受騙損失金錢。

自智能手機面世以來，市民手上一部小小的機器，內藏資料早較以往重要得多。雖然科技發展神速，但對於個人手機的保安，仍然離不開那幾個老掉牙的方法，包括設定複雜的密碼、不要隨便下載不明應用程式、保持系統更新等。今後應再加上為手機裝上防毒軟件，特別是那些易被入侵的手機，以策萬全。

蘋果公司向來每推出一款新產品，就會為市場帶來一場大革新，不論是智能手機或平板電腦，均曾在市場上掀起革命。新推出的Apple Pay流動支付功能，令智能手機搖身成為電子錢包，其在現今生活應用上的角色亦變得更為重要，同時當中的安全問題更值得我們重視。蔡建華更指，「沒有100%的安全，愈標榜安全其實愈危險」。

早前就有報導指，有市民在酒樓消費時調亂了信用卡，但之後仍能以手中信用卡消費。報道中更指記者嘗試結賬簽名時亂簽一通，照可消費，信用卡有如無掩雞籠，安全出現大漏洞。有指Apple Pay流動支付用上指紋辨識技術，令消費更安全，即使不法之徒取得用戶的手機，仍不可以盜用信用卡。蘋果產品一向以安全見稱，但蔡建華就表示，「沒有100%的安全，愈標榜安全就愈危險」。這是一個矛與盾的問題，愈是困難就愈吸引駭客對蘋果作出攻擊。

蔡建華認為，之前NFC的功能未有用盡，今次蘋果Apple Pay將會全面推動手機流動支付的發展，Google及三星等將要追隨蘋果的步伐，發展流動支付，但大前提是先要做好手機保安。 (接下頁)

[NT:PAGE=$]

蘋果推出的Apple Pay流動支付更在美國得到大型銀行、信用卡公司以及大型零售商的支持。縱使在NFC技術的使用上慢於對手三星，但以合作夥伴來看，相信Apple Pay才能真正帶動流動支付平台的應用。日前，百富環球(0327-HK)亦宣布，該公司旗下通訊技術「NFC」的電子支付終端支持蘋果移動支付系統Apple Pay。

另外，雖然該技術至今仍然只能在美國應用，對香港來說仍言之尚早，但早前就有網民在iOS 8的代碼中，發現蘋果預埋了Apple Pay與中國銀聯相關的代碼。美國網路媒體報道亦指，蘋果正積極與中國銀聯洽談，假如消息屬實，事成的話，大陸今次可能比香港快一步用上Apple Pay，更將進一步影響大陸的行動支付市場。

三大漏洞添可乘之機

一、機種多更新慢

蔡建華指出，現時Android系統保安上存在三大問題。首先是使用Android系統的手機並非每個型號均可更新至最新版本，未能定期除蟲防毒，做好保安防護工作。現今電腦病毒日新月異，電腦的防毒軟件亦要經常更新，但使用Android系統的手機生產商，每年推出大量高、中、低階手機，卻在系統更新方面，特別是中低階手機，遠遠追不上出機的速度。

蔡建華表示，現時大部分手機在推出一年後便不會再提供系統更新，市面上許多手機的操作系統仍停留在一兩年前的版本。他續指，手機的保安是通過升級系統軟件作出更新，手機系統過時代表駭客隨時有機可乘。

二、App審批太寬鬆

手機應用程式（App）審批過於寬鬆，亦令駭客可輕易發布內藏木馬程式的Apps。蔡建華表示，現時一個新App要在蘋果的App Store上架，必須經過嚴格審查，一般需要一兩星期時間，「但在Google Play上架最快只要一分鐘」。因為Google Play的做法是「事後審查」，在有用戶「中伏」後或接到投訴才會查核該App，將其下架。這就有如警察巡邏，待有事發生才出動，並不如蘋果般，早在事情發生前將其攔截下來，避免用戶「中招」。

三、非官方App多藏毒

不少駭客會下載Android App整個安裝檔(.apk)後作出改動，如加入木馬程式等，再重新包裝放上網供用戶下載。蔡建華表示，Google Play是一個較為安全的下載來源，但事實上Android用戶還有不少途徑可以下載App的安裝檔(.apk)，這些非官方的渠道大多缺乏審查，使用時風險非常大。例如早前就傳出，有大陸手機應用商店會「改裝」WhatsApp、facebook等軟件，再將用戶的個人訊息傳到大陸。駭客更可將木馬程式加入「山寨App」，以盜取個人密碼、信用卡資料、通訊錄、電子郵件地址等圖利。

另外，今年第1季最熱門的Android遊戲Flappy Bird，上架僅一個月便累積超過5000萬下載次數，開發者卻在此時決定將其下架。當時下架不但沒有讓遊戲熱潮降溫，反引起大眾好奇，有駭客趁機將程式改裝，推出含木馬版本的遊戲App。其中一個木馬版本更會要求用戶允許開發者發送短訊，用戶的月費便因此飆高。