Total Pageviews

Wednesday, 12 May 2021

Signal公司的老板成功破解以色列科技公司的黑客工具

 问:曾经协助香港警方成功破解示威者手机的以色列手机鉴识公司,最近声称能够「破解」Signal的通讯,但被Signal的老板反将一军,指出该公司所用破解工具存有保安漏洞,并且声言Signal内部日后会有一个档案,一般人平日都不会用到,预料是针对破解工具的保安漏洞而设计的特别档案。为何破解手机的工具,会有过百个保安漏洞,甚至有些漏洞存在长达十年以上?

李建军:其实以色列相关公司推出的破解软件,本身就是利用大量保安漏洞才能破解手机的内容,所以软件内有大量各式各样的漏洞并不令人意外,该公司明知自己的工具有大量漏洞都不去修补,是因为修补之后,他们的工具便废了武功

该以色列公司有相当知名度,但不幸地其硬件落入Signal其中一位始创人手上,而此人本身就是一名保安专家,因此在短期内要破解Signal不单变得不可行,Signal公司更很大机会向苹果和谷歌指出其作业系统被滥用的安全漏洞,并尽速作出修补。香港警察日后要取得市民的手机资料的难度将会大增,当然,如果你使用Signal会更加安全,因为Signal已经有设计针对相关科技公司的软硬件作出防备。

问:其实上述的情况,这亦是你为何一直都反对听众为手机进行越狱,或者解锁的做法?

李建军:要替手机越狱,一定用到保安漏洞,而透过黑客工具替手机越狱,就有如对黑客大开中门。对于有一定技术水平,知道如何防备黑客入侵的高手,当然不怕使用这类型工具,但对大部分缺乏相关技术知识的听众,你越狱只不过令执法部门的黑客工具更容易入侵你的手机,一点都不安全。而在App Store日渐成熟之下,亦越来越少黑客投入破解手机/帮手机越狱一类的研究工作,因为有不少黑客都发现他们辛苦研发的技术最终被中国、香港一类漠视公民权利的政府所滥用,并不值得。而大部分应用程式,都有相应的App Store版本,并不再需要透过越狱才能够安装。

问:要避免保安公司的黑客工具能破解你的手机,除了定期更新作业系统之外,还有甚么可以做?

李建军:定期更新作业系统,当然减低保安公司的黑客工具成功破解你手机的机会,只不过,苹果和谷歌会否因应执法部门要求,故意保留部分保安漏洞,这点是相当有可能。因为Signal公司发现,以色列的保安公司软件中,有两个经苹果签署的数码证书,相关数码证书不应该作黑客工具用途,如果苹果明知保安漏洞存在,因执法部门或个别国家政府要求而保留漏洞,有可能会引发诉讼,向苹果要求赔偿,因此,完全依赖苹果或谷歌去更新作业系统,堵塞漏洞这个做法,并非百分百安全。

Signal自己在软件之中加入档案,干扰保安公司的黑客工具的运作,这种做法如果不影响到用户体验和安全,其实是相当可取的做法。至少对用户而言是多一种保障,而Signal有可能是目前最安全的即时通信软件之一,特别是Signal暂时未有任何计划上市,亦愿意向用户披露作业系统的保安风险,并自行作出回应

相反,Telegram有传会寻求在香港上市,在香港已实施《国安法》的情况下,Telegram会否为了成功上市,与中国当局妥协,变成了一大疑问。再加上香港警方掌握如何破解Telegram系统情况下,Telegram好像未有作出技术上的回应,因此,由用户安全的角度,Signal的回应行动,以及技术方针比较下,Signal比起Telegram更加顾虑到用户安全。针对一些相当敏感的内容,使用Signal有可能比Telegram更加安全。

近日有以色列手机鉴识公司声称能破解热门加密通讯软件Signal。被Signal创始人反指,该公司所用破解工具存有保安漏洞。

No comments:

Post a Comment