我能不能信任這款應用程式?為協助記者回答此問題,技術專家Ben Finn提供了一份簡便的檢查清單,摘要說明在決定下載或提供任何個人資訊給應用程式或網站前,需要加以考量的最重要因素。
需回答的三大問題
1. 該網站或手機應用程式有無專家推薦?
查看Restore Privacy或Techradar等評論網站並閱讀意見區塊,以確認其他使用者是否推薦該項數位工具(小心專用於推銷該網站或應用程式的網站)。
2. 該款數位工具是否清楚提供安全功能的相關資訊?
專家能夠以直接明瞭的方式進行說明。刻意以複雜的方式解說可能用於吸引一般人,或表示對方的瞭解程度不足。
3. 製作者的資訊是否透明公開?
使用者應注意網站或應用程式製作者是否匿名;若之後發現數位工具為惡意程式,將無人可為此負責。此外,如製作者未明確說明所販售內容,小心該網站或應用程式可能為用於監視使用者並出售其資料的陷阱。
背景資料查核
- 新聞。確認應用程式最近的相關新聞,特別是報告漏洞與遭駭的相關報導。
- 更新。確認應用程式的上次更新及其更新頻率。尋找每個月至少更新一次,以修復錯誤與漏洞、針對任何新型攻擊方法提供防護的應用程式。
- 後設資料。瞭解在初次點擊或下載後,程式收集了哪些後設資料。這項資訊通常可在資料隱私區塊找到。小心收集資訊超過所需範圍的任何應用程式,因為所有收集資料的行為都有其目的。請設法瞭解其目的;收集資料為法定要求、用於行銷或惡意行為。
- 存取層級。瞭解應用程式要求的權限,如果在根層次要求系統管理存取權,則該應用程式可能為惡意程式。收集並出售資料的應用程式不值得信任。如工具需要特定權限才能運作,嘗試將其設為「僅在使用時允許」,但要注意部份應用程式可能會在背景持續執行。此功能可於設定中變更。
所應尋找的安全特色
- 開源和發佈稽核。將程式的原始碼提供任何人使用或修改。此舉可保證透明度,並使數位工具有責符合一致標準。然而,開源程式並沒有任何管理制度。部份開源工具雖未完全開放原始碼,但仍可自稱開源程式。如Signal近期宣布,為安全起見,其部分程式碼將不再開放。
- 端對端加密。確保資料安全,以阻止第三方存取資訊的方式。此連結可提供更多資訊。
- 主控伺服器及組織設立地點。讓使用者知道應用程式用於收集資料的法律依據為何。部分國家允許政府不需傳票即可取得個人資料(中國、俄國、印度),另有部分國家設立極高的法規要求(希臘、加拿大)。
- GDRP(General Data Protection Regulation,一般資料保護規則)。規範資料收集的法律架構。儘管其首要目標為保護歐盟公民在歐盟及海外的隱私權,此規則已成為全球眾多企業所遵循的標準。此連結可提供更多資訊。
作者Benjamin Finn來自美國休斯頓,在 IT 領域已有十年資歷。這段期間其主要工作為替大型企業部署內部資安工具。過去兩年來,他在緬甸研究如何於專制民族國家維持合適的資安水準。他並和台灣的多個團體合作,為其進行確切落實資安和安全措施的訓練。