Friday, March 4, 2016

翻墙问答:浏览网站时用户被迫下载软件?

问:近日有不少Android用家投诉,他们透过家中的固网网络下载软件,都会变成下载UC浏览器,但又不像自己的手机中了病毒?有人指这是电讯公司利用劫持技术,迫用户下载个别公司的软件,这到底发生了什么事?

李建军:任何人透过电讯公司网络下载软件,或浏览网络,都要经过电讯公司的DNS解读网址,以及透过电讯公司的快取主机,以及路由器,才能与你打算下载软件或浏览内容的主机联络,取得你想要的资料。

而中国的软件公司,滥用DNS劫持技术,将用来封锁敏感内容的技术拿来赚钱,当你想下载Android软件时,电讯公司的DNS乾脆指向电讯公司合作夥伴的主机上,然后迫你下载你根本不想用的软件,DNS污染和劫持技术不单影响中国网民的资讯自由,更加变成了另类赚钱工具。

问:那除了下载Android软件时,会受到电讯公司的污染手法所影响,一般网民浏览网站时,又会否受到电讯公司的污染手段所影响?

李建军:由于你浏览网站时,除非作翻墙,或相关网站用HTTPS加密通讯,否则电讯公司可以透过快取主机,在你浏览的内容上“加盐加醋”,最普遍的例子是加了一些不明来历广告在你浏览网页内容中。但更离谱的例子都有,例如注入一些病毒代码在你的浏览内容之中,令你不知不觉中了病毒也不知。换言之,不作翻墙再浏览网站,本身已经是危险行为。

问:那要避免受到电讯公司的DNS劫持,以及注入受污染内容的影响,最有效方法是怎做?

李建军:当你清理了电脑或手机上的DNS快取后,尽可能用VPN上网,因为VPN主机会用乾净的DNS主机,而VPN主机的快取主机,由于受到海外执法机构监管,亦不可能注入有病毒的代码。而使用无界浏览、动态网之类的翻墙软件,也是确保浏览安全的方法,因为翻墙软件透过代理主机将内容送到你面前,而翻墙软件开发商的代理主机,并不会将受污染内容注入你所看的内容中。

问:现时很多人都会买智能手表,配合Android或iOS手机使用,但最近有人发现在ebay所买到的中国制智能手表,内置一些奇怪程式,会将资料传回在中国的主机上。智能手表其实会否成为一个新漏洞?

李建军:其实所谓智能手表,都是类似智能手机般的小电脑,智能手表的作业系统、中央处理器、记忆体容量,都与智能手机类似。既然智能手表软硬件上具备类似智能手机的能力,智能手机会出现的保安问题,在智能手表上一样会出现,因此听众并不能够对智能手表的安全问题掉以轻心,以为智能手表只是智能手机的附属品,就不会带来保安问题。

由于中国厂商已经看中智能手表这个漏洞,因此,选购智能手表时,尽量避免购买廉价的不知名品牌,因此一如现时的廉价不知名品牌手机一样,作业系统很可能设下后门,暗中将你的个人资料传到不知名的主机中。另一方面,中国品牌的智能手表,虽然未发现有任何问题,但以中国大厂在智能手机所做的行为,迟早在智能手表上出现,换言之,中国大品牌的智能手表都不会安全。

当然,亦要小心用于智能手表上的应用程式,就算你买大品牌的智能手表,如果有心人在智能手表上的应用程式做手脚,一样会有私隐问题。在这方面,Android的问题会比苹果的智能手表来得大,因为苹果会严格监管于App Store上的手表应用程式。(完)

原文:http://ift.tt/1TUzSnB




via 细节的力量 http://ift.tt/1TUzSnH

No comments:

Post a Comment