間諜軟體怎麼會在我的手機裡

（德國之聲中文網）由中國企業開發的TikTok以及其他手機應用程式被指控竊取用戶個人訊息，而這些訊息與App的實際功能無關，沒有合理的收集理由。

IT安全專家斯特羅貝爾（Stefan Strobel）表示："TikTok和其他夾帶惡意插件的App並不無辜，這也不是惡意中傷，因為這些App的開發者從一開始就在他們的應用軟體裡加裝後門、間諜功能以及其他東西，而且還努力不使人注意到。"

斯特羅貝爾是IT安全顧問公司CIROSEC的創始者兼總裁，為德國中小企業提供IT安全咨詢服務，部分客戶在中國有業務活動。因此，斯特羅貝爾對於中國開發的App也有頗為深入的瞭解。他認為，用戶群龐大的TikTok以及微信只是冰山一角。

微信是個通用的應用軟體，除了收發訊息和支付功能外，還與其他社群網站應用程式結合。微信在中國被廣泛使用，IT專家們毫不懷疑地認為，所有流經微信的訊息幾乎都被中國政府記錄下來。

我的App裡隱藏了什麼？

此外，還有數千個多數為免費的APP，甚至商業應用程式也有此類問題。斯特羅貝爾指出："我們越來越常注意到，出於某些原因，開發商投入了許多資源，讓分析App變得更困難。如果努力嘗試破解裡頭的保護功能並探究其編程方式，會發現各種訊息都被收集並送往中國。而這些訊息其實沒有收集的必要。"

許多應用程式乍看之下不起眼而且無害。起初它只是安裝一個小小的後門，以利駭客日後使用。"就算你現在看這些App, 看上去一切無害，但中國開發商通常能在使用期間延展它的功能。你不需要再次在App商店中下載這個軟體，它就能突然增加其他的操作。"

無所謂的心態要不得

斯特羅貝爾表示，這與西方軟體開發商定期提供的App即時更新不同。中國間諜App的"運行中更新"不能與微軟Office系統的更新相提並論。"作為客戶端，我可以同意微軟Office進行更新。中國的應用軟體則是在用戶毫不知情的情況下更新，甚至可能是在用戶正在使用App的當下。"

TikTok就是一個非常巧妙的例子。最初它偽裝成有趣且無害的軟體，但它對用戶訊息的渴求卻隨著時間以及軟體的成功與日俱增。直到大量用戶使用這個軟體後，就會出現牽引效應。斯特羅貝爾分析此類軟體的策略稱："當這個App佔據了引領潮流的地位並且大受歡迎時，人們會說：'嘿，我也要用這個！'接著開發商會逐漸延伸其權限，而已經安裝軟體的用戶就必須同意更多條款。"

開發商以此類方式擴大使用者賦予App的權限。許多用戶根本不清楚App要求了什麼樣的權限。當App跳出一個對話框時，他們只是下意識點選同意。如此，App便能取得用戶即時位置，隨時得知他們身處何地，甚至可能取得手機聯絡人或是行事歷訊息。想要使用App，就必須接受這些條件。

系統預裝的惡意軟體

不僅是用戶主動在App商店中下載的應用軟體有此類情況。在購買智慧型手機時，裡頭經常已經預先安裝了惡意軟體。美國網路安全公司Kryptowire首席執行官斯塔夫魯（Angelos Stavrou）表示："許多智慧型手機營運商使用第三方開發軟體，卻不知道它的來源以及編程者為何人。惡意軟體成了製造鏈的一部分，很快就能使其受到侵蝕。"

該公司去年在26家製造商的安卓手機預裝應用軟體中發現了146個安全風險，這些軟體可能是來自電信公司、電子產品商店等。斯塔夫魯在2020年IT防禦大會期間向德國之聲透露，目前又增加了上百個安全漏洞。

Kryptowire的研究總監約翰遜（Ryan Johnson）舉了用於更改字體的小程序"Lovelyfonts"和"LovelyHighFonts"為例。這兩個程序號稱是單純的字體程序，能使手機屏幕上顯示的字體更生動有趣。

事實上，這些程序會在用戶不知情的情況下對手機發動攻擊，打包手機中的加密數據，並在手機閒置時將數據發送給位於上海的一個伺服器。

約翰遜表示："我們發現的部分程序擁有系統特權，是作業系統的一部分。使用者無法將其關閉。如果此類應用程式有缺陷，用戶無法做出任何應對。"

軟體開發藏風險

與蘋果的IOS系統相比，安卓更容易受到惡意軟體的危害。原因在於，蘋果一手掌握了其手機開發及App商店，在發現惡意軟體時可以更快速地應對並將其移除。

安卓系統則需要更多反應時間。安卓的一個開源項目（ASOP）提供軟體開發者所需的訊息和原始碼。開發商若想要推出新智慧型手機，可以在代碼庫中尋找客戶可能會喜歡的軟體搭配組合。約翰遜警告："所有ASOP中的安全漏洞都由此轉移給手機供應商。"

IT安全專家斯特羅貝爾也認為，混亂的製造、開發和經銷結構形成了安全風險。"裡頭有許多參與方，對應一個分散的市場。由於有許多硬體製造商對作業系統作出修改並貼上自己的標記，導致一切變得不夠安全。"

惡意軟體藏在程序工具中

蘋果並非完全倖免於此類攻擊，2015年源自中國的XcodeGhost風波便是一例。這個惡意代碼潛伏在蘋果的程序開發工具Xcode中，而程序設計者需要Xcode 來編寫MacOS或IOS系統的應用軟體。

斯特羅貝爾指出："如果下載的是蘋果官方Xcode並用其開發App便不會出現狀況。但如果通過無需付費的灰色渠道取得Xcode, 惡意代碼會被自動植入App中，這就會出現問題。"

當時約有4000個應用程式在開發者不知情的情況下被注入惡意代碼。看上去是個龐大的數字，但與目前蘋果App商店中近200萬個應用程式相比，這個數字只是九牛一毛。但IT專家斯特羅貝爾也必須承認，XCodeGhost確實是非常專業的駭客手法："從駭客的角度來評價，通過開發環境，在App開發期間就植入惡意代碼，手段極為高明。"

手機比電腦安全

使用者能做些什麼來確保手機的安全？令人驚訝的好消息是：智慧型手機的安全性比想像中更高。

斯特羅貝爾表示："無論是安卓或IOS，智慧型手機作業系統的基本概念是，App會在沙盒中運行，只具備非常有限的權限。"

如果作業系統沒有開放的安全漏洞，惡意軟體也無法訪問用戶在其他App中執行的操作，甚至是攻擊作業系統。斯特羅貝爾指出，智慧型手機通常比一般電腦更安全。"例如IOS比一般的Windows 10系統電腦安全。這是因為即便作為使用者，我在IOS手機中也沒有管理權限，但在我的電腦上卻擁有這些權限。"

取決於使用者

重要的是隨時保持警惕。不要將所有看似有意思的東西安裝在自己的手機上。對於應用程式擁有哪些權限，使用者不僅應心裡有數，也不要隨意批准所有權限。

在各種有關中國間諜軟體的警告以及製造商缺乏透明度的情況下，是否還要使用中國製造商推出的智慧型手機，最終取決於個人。

企業可以通過中央設備管理（即所謂的MDM功能），保護發放的業務用手機安全性。通過上述管理系統，企業能決定手機上只能安裝特定App，或使用者可與哪些網路連線。雖然這樣的限制會減少手機使用的樂趣，但至少能確保數據都完好地保存在手機裡。

 

© 2020年德國之聲版權聲明：本文所有內容受到著作權法保護，如無德國之聲特別授權，不得擅自使用。任何不當行為都將導致追償，並受到刑事追究。