網上轉換工具的便利的確相當吸引,但轉換檔案格式其實暗藏風險,因為過程會讀取檔案,瞭解內容然後才轉換數據再重新儲存到另一種格式,當中難以保證沒有把木馬程式植入到檔案之內。
個人資料外洩、惡意程式和其他威脅
首先要注意的風險是個人資料外洩,雖然你可能會覺得沒有人想要你的資料,但放假的照片被其他人利用也並非好事,而機密文件問題就更嚴重,因為難保網站會否複製你的檔案作其他用途,上傳檔案到網上轉換工具時,你無法確定網站有否複製你的檔案作其他用途,上載的資料最後可能落入騙徒手中,甚至對你的公司發動攻擊,而你便成為了協助攻擊的幫兇。
而威脅並不限於文字或表格文件,上傳帳單照片轉換為PDF也存在風險,Optical character recognition (OCR)已發明了一段時間,現在更有AI輔助,即使流動木馬程式也懂得從手機內的照片中尋找攻擊者有興趣的資料。而另一個常見的風險就是惡意程式,部份網站可能會修改你的檔案或加入惡意編碼到轉換後的檔案,如果沒有可靠的防護,用戶可能到「出事」才發現,轉換後的檔案可能含有腳本、木馬、巨集或其他惡意內容。轉換工具的網站本身也可能是網絡釣魚網站,要求用戶登記和輸入大量個人資料,又或者付費訂閱以轉換檔案,如果仍然想利用網上轉換工具,應該尋找不用登記的網站,也永不交出你的付費卡資料。
如何本機轉換檔案
最安全的方法是在本機之內進行檔案轉換,即是在你自己的裝置上,沒有第三方的網站,這樣就能確定保持機密(至少直至你連接互聯網),用戶可以透過系統工具或普及的程式變更檔案格式。在文字、表格檔案的話,Microsoft Office就能讀取很多檔案格式,使用File > Open/File > Import指令 (因應Office和操作系統版本),然後儲存為另一個格式則是File > Save as type (或File format)/ File > Export指令。如果沒有存取Microsoft產品的權限,可以使用免費的替代品LibreOffice和OpenOffice,同樣支援多種文字和表格檔案格式,在Windows的WordPad編輯工具可以轉換文字文件,儘管閱讀的檔案種類明顯較少。至於macOS的用戶,Apple的辦公室應用程式(Pages、Numbers、Keynote)能識別及儲存不同格式的文件。
至於圖像檔案情況來得比較簡單,內建的操作系統工具能夠轉轉換PNG和JPEG檔,在Windows則可透過Paint的File > Save as,macOS用戶甚至不用打開任何程式,只要在Finder右click,選擇Quick Actions > Convert Image,然後可以選擇格式 (PNG、JPEG、HEIF)。如果仍然不足夠,例如要處理影音檔案或特定檔案格式,便可能需要尋找有良好聲譽的免費開源軟件(FOSS)離線工具,影像和大部份音訊格式,可透過Handbrake (Windows、macOS、Linux)和Shutter Encoder (Windows、macOS、Linux),音訊檔案可嘗試Audacity,影像則有ImageMagick (Windows、macOS、Linux)。
大部份媒體轉換工具只是在FFmpeg之上添加圖形介面,可算是轉換多媒體格式工具的頂點,可惜缺點是只能透過指令運作,如果懂得使用指令,FFmpeg無疑是最佳選擇,Pandoc同樣是指令用戶的好選擇,在Pandoc網站上的Extras部份,可以找到很多第三方工具加入圖像介面,或把Pandoc加入到其他編輯工具、服務,甚至操作系統。
在選擇離線轉換工具時,需要確保真的是在本機上發生,很多工具只是提供夾面的網上轉換工具,依舊會發送你的檔案到伺服器,最簡單測試方法就是在轉換前先中斷互聯網的連線,如果工具無法工作便不是離線的轉換工具。
如何盡可能安全地網上轉換檔案
有時候無可避免使用網上轉換工具,例如要發送極奇異或過時格式的檔案,所以要學會盡量降低網上轉換檔案的風險。由於永遠無法確定上載資料後會遇到甚麼對待,所以永遠不要網上轉換敏感資料。如果持有Google帳號,可以上載希望轉換的檔案到Google Drive,然後右click在Google Docs/Sheets/Slides內打開,再下載另一種格式,而且這個方法能在流動裝置上使用。
另一個比較安全的轉換文字或圖像檔案,就是使用Adobe的網上轉換工具,同樣支援手機,但缺點是所有上載資料會儲存在Adobe的伺服器,所以不適用於機密檔案。其他使用網上檔案轉換時應該留意的安全事項:
- 使用良好聲譽的網上轉換工具
- 使用瀏覽器的隱身模式打開轉換工具網站,減少被收集的資料。
- 使用可靠的VPN隱藏自己的IP地址
- 檢視網上轉換工具的私隱條款,瞭解資料的處理過程,確保不會在未經知會下被收集、儲存和傳送資料。
- 檢查所有需要轉換的檔案不含有機密資料
- 使用防毒軟件掃瞄轉換後的檔案,如果轉換後是一個被密碼保護的壓縮檔,很大機會是為了逃避防毒軟件的偵測。
- 避免使用需要登記和提供付費資料的未經核實網站
資料來源:Kaspersky Blog
