iPhone 用户注意: A few dozen iPhone and iPad applications, most of them developed for China, have been infected with XcodeGhost, a malware that collects information on the devices and uploads that data to remote servers.
Among them is WeChat, one of the most popular instant messaging applications in the world.
Rather than exploit an iOS vulnerability, the malware in question sneaks its way into apps indirectly, by targeting Apple’s official compilers used to create legitimate apps. The malware was found to inject its malicious code into a Mach-O object file that was repackaged into some versions of Xcode, Apple’s official tool for developing iOS and OS X apps.
These Trojanized Xcode installers were then uploaded to Baidu’s cloud file sharing service used by Chinese app developers, explains Palo Alto Networks. The malicious code then inserts itself into any iOS app compiled with the infected Xcode without the developers’ knowledge.
。。。
问︰有一间网络保安公司研究报告,指中国常用的QQ以及微信,内藏极危险的木马软件,而且难以清除,请问面对这一些内藏木马软件,能否移除,还是需要用另一些方法去防止木马软件偷窃自己的资料?
李建军︰这次Lookout公司发现,同样由腾讯公司开发的QQ和微信,都内藏一种叫xRat的木马程式,这程式会在手机内伪装成无害的文件,令到难以删除,但xRat可以取得手机极高的执行权限,包括取得其他软件的通讯资料,以及启动手机咪高峰等。因此,只要安装QQ和微信,就等如任由中国当局监控你的一举一动。
要保护自己的个人资料以及安全,避免受到QQ和微信内藏的木马程式所影响,唯一方法是不要在手机安装QQ和微信,如果一定要用QQ和微信,就要使用一部无关痛痒的手机,以及如果要会见一些相对敏感的人物,或出席一些相对敏感的会议时,就必须关闭有关手机;如果手机可以拆出电池,就乾脆连电池都拆除,以策安全。除非腾讯公司愿意推出一个安全版本的QQ或微信,否则这个木马程式是无法移走,安装防毒软件亦无补于事。
以保障个人安全而言,避免使用由中国公司出产的任何软件,以及关连的各类服务,几乎是最有效的方法。因为现时中国软件为了保住市场地位,与当局的合作几乎是无底线,因此,现时只有假定任何中国公司出产的软件,都可能与当局的监控有关。
问︰谷歌最近决定,会对一系列由Symantec发出的数码证书不予信任,并在明年初推出的Chrome 66版执行,这会对大部分听众会有甚么影响?而谷歌为何不信任Symantec推出的大部分数码证书?
李建军︰谷歌决定在Chrome 66版开始,不信任所有Symantec在2016年后所核发的数码证书,最终所有Symantec将管理数码证书工作架构交予Digi Cert公司前发出的数码证书都不予信任,除了少数谷歌已经审视过安全状况的证书。这与Symantec推出的数码证书,不少有保安隐患有关。
由于中国相当多银行都仍然采用Symantec的证书,如果中国的银行不改变或更新数码证书的话,相信这将会造成极大的问题。但比起谷歌对付WoSign,或CNNIC的证书,由于仍然给予网站拥有人相当充裕的时间更新,相信暂时影响有限。谷歌会在Chrome 62版开始发出警告讯息,因此,有可能年底浏览网上银行网站时,会经常受到Chrome的警告讯息影响,而这影响会维持多久,要视乎中国各大银行对更新数码证书所持的态度。
问︰无论现时iPhone 8或以下所用的Touch ID也好,未来的iPhone X用的Face ID都好,都其实要配合一个密码,而苹果容许设定输入密码次数多过十次后,就将所有资料删除,但需要作出设定,那应如何设定?
李建军︰现时苹果 iOS 10已经可以设如果输入密码次数多过十次后,就将手机所有资料删除,如果想防止自己的手机落入公安或国保手中出现资料泄漏,你应该作出这个设定,只不过预设是将这项功能关闭,要自己开启的。这次翻墙问答,我准备了视频,示范如何在iPhone启动这项功能,欢迎各位听众浏览本台网站,收看有关视频。如果这功能启动后,相信就算有人偷了你的手机,都不能取得手机内的关键资料,如果你可能在公安的目标的话,我个人建议启动这个功能。