QQ以及微信内藏危险的木马软件 难清除(图)

  　　

问︰有一间网络保安公司研究报告，指中国常用的QQ以及微信，内藏极危险的木马软件，而且难以清除，请问面对这一些内藏木马软件，能否移除，还是需要用另一些方法去防止木马软件偷窃自己的资料？

　　李建军︰这次Lookout公司发现，同样由腾讯公司开发的QQ和微信，都内藏一种叫xRat的木马程式，这程式会在手机内伪装成无害的文件，令到难以删除，但xRat可以取得手机极高的执行权限，包括取得其他软件的通讯资料，以及启动手机咪高峰等。因此，只要安装QQ和微信，就等如任由中国当局监控你的一举一动。

　　要保护自己的个人资料以及安全，避免受到QQ和微信内藏的木马程式所影响，唯一方法是不要在手机安装QQ和微信，如果一定要用QQ和微信，就要使用一部无关痛痒的手机，以及如果要会见一些相对敏感的人物，或出席一些相对敏感的会议时，就必须关闭有关手机；如果手机可以拆出电池，就乾脆连电池都拆除，以策安全。除非腾讯公司愿意推出一个安全版本的QQ或微信，否则这个木马程式是无法移走，安装防毒软件亦无补于事。

　　以保障个人安全而言，避免使用由中国公司出产的任何软件，以及关连的各类服务，几乎是最有效的方法。因为现时中国软件为了保住市场地位，与当局的合作几乎是无底线，因此，现时只有假定任何中国公司出产的软件，都可能与当局的监控有关。

　　问︰谷歌最近决定，会对一系列由Symantec发出的数码证书不予信任，并在明年初推出的Chrome 66版执行，这会对大部分听众会有甚么影响？而谷歌为何不信任Symantec推出的大部分数码证书？

　　李建军︰谷歌决定在Chrome 66版开始，不信任所有Symantec在2016年后所核发的数码证书，最终所有Symantec将管理数码证书工作架构交予Digi Cert公司前发出的数码证书都不予信任，除了少数谷歌已经审视过安全状况的证书。这与Symantec推出的数码证书，不少有保安隐患有关。

　　由于中国相当多银行都仍然采用Symantec的证书，如果中国的银行不改变或更新数码证书的话，相信这将会造成极大的问题。但比起谷歌对付WoSign，或CNNIC的证书，由于仍然给予网站拥有人相当充裕的时间更新，相信暂时影响有限。谷歌会在Chrome 62版开始发出警告讯息，因此，有可能年底浏览网上银行网站时，会经常受到Chrome的警告讯息影响，而这影响会维持多久，要视乎中国各大银行对更新数码证书所持的态度。

　　问︰无论现时iPhone 8或以下所用的Touch ID也好，未来的iPhone X用的Face ID都好，都其实要配合一个密码，而苹果容许设定输入密码次数多过十次后，就将所有资料删除，但需要作出设定，那应如何设定？

　　李建军︰现时苹果 iOS 10已经可以设如果输入密码次数多过十次后，就将手机所有资料删除，如果想防止自己的手机落入公安或国保手中出现资料泄漏，你应该作出这个设定，只不过预设是将这项功能关闭，要自己开启的。这次翻墙问答，我准备了视频，示范如何在iPhone启动这项功能，欢迎各位听众浏览本台网站，收看有关视频。如果这功能启动后，相信就算有人偷了你的手机，都不能取得手机内的关键资料，如果你可能在公安的目标的话，我个人建议启动这个功能。