問:最近有報導指,中共當局利用Javascript的漏洞,即使聽眾用VPN上網,仍然被中共當局知道自己的一舉一動。到底是怎樣一回事?
李建軍:之前的翻牆問答都提及過,中共當局濫用百度、阿里巴巴等網站,進行攻擊異見網站的活動,而這次出現新的漏洞,主要針對用VPN來瀏覽異見網站的網民。
只要你曾經瀏覽過百度或阿里巴巴等與中共當局合作的網站,就會執行暗中執行的代碼,這些代碼可以看到你所有瀏覽的紀錄,包括透過VPN進行的瀏覽紀錄,而用戶是完全一無所知。
問:有什麼方法可以防止中共當局窺視我在VPN的瀏覽活動,免得我或其他網友惹上麻煩?
李建軍:比較有效的方法,是用兩個不同的帳戶或瀏覽器,進行瀏覽活動。要瀏覽中國網站,例如百度或淘寶網的時候,就使用IE或Chrome之類瀏覽﹔而用VPN翻牆的時候,就用Firefox或Safari來瀏覽,這樣中共當局不能夠透過中國網站的Javascript漏洞而得以知道你的行蹤。當然,最保障的方法,是用兩部完全不同的電腦來分別瀏覽中國網站,以及翻牆活動,這樣是最安全的。
如果你用最新版本的Tor瀏覽器的話,會相對安全,因為Tor社群已經針對中共當局的所作所為,對Tor瀏覽器設計作出修正,令中共當局無法利用Javascript漏洞窺視個別用戶的瀏覽活動。
問:最近有消息指,三星的Galaxy系列手機有保全漏洞,有可能令聽眾在手機上的個人資料遭到泄漏,那是怎麼一回事?
李建軍:三星全系列用Android作業系統的Galaxy手機,包括最新Galaxy S6,由於預載軟體出了問題,會令你的通話有可能遭到竊聽,以及你傳輸的資料遭到攔截。這個問題在2013年己經發現,但至今仍然存在,三星現時只是向個別的電訊公司提供了修補套件,在網絡層面上補救,但幾乎全部受影響的手機軟體都未有作出相應更新。
至於三星使用Windows Mobile的手機,或較早期使用專有作業系統的手機,就暫時未發現任何問題。
問:那現有三星Android手機的用家,可以做什麼來保障自己的私隱不會外泄?
李建軍:在三星未更新所有手機的軟體前,如果你有另一部Android手機,可以暫時使用另一部Android手機,因為這次並非Android作業系統出現問題,只是三星公司隨機預載的個別軟體有漏洞,才導致用戶私隱不受保障的情況。
在三星推出最新修補套件後,請儘快安裝,以策安全。但要注意的是,有些太舊型號的Galaxy手機,三星不一定會推出相應的套件,對仍然使用舊款手機的用家,可以考慮藉這個機會換機,因為舊的作業系統有的保全漏洞,不止預載軟體上的漏洞這樣簡單,還可能有其他漏洞存在。
問:之前有報導,中國黑客慣常在Powerpoint、Word或Excel附帶木馬程式,偷竊用戶資料。那怎樣在Gmail打開這類型附件,避免中國黑客附帶的程式碼可以成功執行?
李建軍:由於現時Gmail都有支援Google Drive的能力,正常的Powerpoint、Word、Excel或PDF檔,都可以在瀏覽器上直接查看,而不用下載附件到電腦上,只要你的瀏覽器是最新的瀏覽器便可。Google並不會執行檔案上的程式碼,如果你不能夠瀏覽PDF或Word內容,你幾乎可以肯定對方送來是病毒。
這集翻牆問答,我們會有視頻,示範如何在Gmail安全打開Word一類的附件,歡迎各位聽眾瀏覽本台的網站,觀看有關視頻。
