在市面上 Android 智能電話有很多選擇,不同硬件配備、設計顏色與及價格水平,能夠迎合不同人士的需要,其中售價是最常見的重要決定因素,尤其當不知名廠商推出產品,自稱與知名品牌擁有相同功能和品質,但售價卻只是知名廠商的一半時,的確擁有一定的吸引力。然而,任何廠商出售的可能並非單純一部智能電話,可能還內附惡意程式。
買智能電話附送木馬程式
Android 系統是一個具高度彈性的流動平台,是它的一大優勢,也使它受到開發人員的歡迎。Google 開發核心軟件,但是任何廠商都能夠把它客製化,然後放入智能電話內作為原生應用程式的存在,使產品能夠與競爭對手有分別。
有部份原生應用程式是屬於系統應用程式,由廠商安裝在 /system/app 或 system/priv-app 的資料夾內,用戶不能把它從裝置內移除,看起來無傷大雅,但是只要加入謀利的動機,事情就變得複雜。理論上,廠商可以在上文提到的資料夾入放入「他們認為客戶有需要」的應用程式,但是廠商也可以把它當作賺取額外金錢的機會,例如:收取軟件開發商「預裝」軟件的費用,更極端的例子,是廠商自行安裝惡意程式。
預先安裝惡意程式能強迫用戶觀看廣告,收集用戶個人資料然後轉售向第三方組織,又或者結合以上兩者,因應收集到的個人資料顯示相關廣告,以上種種原因都有機會影響到智能手機的銷售價格。至於預先安裝木馬程式,則能夠讓網絡罪犯利用覆蓋的方式蓋過系統原有的畫面,過往有相對較大型的廠商被發現使用過以上手段,例如:ZTE、Archos、Prestigio 和 myPhone。另外,有調查發現 OnePlus 和 BLU 的智能電話被預先安裝間諜軟件,能夠收集敏感的個人數據並傳送到廠商的伺服器。
最荒謬是大部份上列的廠商都在 Android 官網的認證伙伴名單之內,似乎顯示預先安裝惡意程式成為行業內的慣常做法,令用戶難以單純倚靠廠商的知名度來分辨裝置的可信性。
自己的裝置自己保護
為了降低購入受感染裝置的風險,或至少確定裝置會在所有應用程式中顯示廣告,及在購入之後未經同意收集用戶個人資料,用戶應該考慮以下項目:
- 做足資料搜集,有時候用戶心儀的手機使用報告已經在互聯網上被人討論,特別是用戶投訴預先安裝惡意程式時。
- 如果手機的售價難以置信地優惠,當中也可能存在難以置信的事情,廠商可能暗地裡做了某些事情,去彌補沒有標在售價上的金錢收入。
- 檢查 Android 裝置的認證狀態,確定韌體通過 Google 的測試,不過認證也並不代表 100% 沒有預先安裝惡意程式,只是較少機會在銷售前已受到感染。
- 安裝可靠的防毒軟件能夠通知和保護用戶對抗惡意程式,有時候惡意程式在用戶購入裝置前已經預先安裝,用戶如何小心使用都會受到感染。
