QQ及微信聊天软件藏极危险木马程序窃取资料，很难移除

QQ及微信聊天软件藏极危险木马程序窃取资料，很难移除

问︰有一间网络保安公司研究报告，指中国常用的QQ以及微信，内藏极危险的木马软件，而且难以清除，请问面对这一些内藏木马软件，能否移除，还是需要用另一些方法去防止木马软件偷窃自己的资料？

李建军︰这次Lookout公司发现，同样由腾讯公司开发的QQ和微信，都内藏一种叫xRat的木马程式，这程式会在手机内伪装成无害的文件，令到难以删除，但xRat可以取得手机极高的执行权限，包括取得其他软件的通讯资料，以及启动手机咪高峰等。因此，只要安装QQ和微信，就等如任由中国当局监控你的一举一动。

要保护自己的个人资料以及安全，避免受到QQ和微信内藏的木马程式所影响，唯一方法是不要在手机安装QQ和微信，如果一定要用QQ和微信，就要使用一部无关痛痒的手机，以及如果要会见一些相对敏感的人物，或出席一些相对敏感的会议时，就必须关闭有关手机；如果手机可以拆出电池，就干脆连电池都拆除，以策安全。除非腾讯公司愿意推出一个安全版本的QQ或微信，否则这个木马程序是无法移走，安装防毒软件亦无补于事，但是这明显是不可能的，腾讯通过微信和QQ下的病毒主要目的是为了监控国内用户，消灭不和谐的声音和人。

以保障个人安全而言，避免使用由中国公司出产的任何软件，以及关连的各类服务，几乎是最有效的方法。因为现时中国软件为了保住市场地位，与当局的合作几乎是无底线，因此，现时只有假定任何中国公司出产的软件，都可能与当局的监控有关。

问︰谷歌最近决定，会对一系列由Symantec发出的数码证书不予信任，并在明年初推出的Chrome 66版执行，这会对大部分听众会有甚么影响？而谷歌为何不信任Symantec推出的大部分数码证书？

李建军︰谷歌决定在Chrome 66版开始，不信任所有Symantec在2016年后所核发的数码证书，最终所有Symantec将管理数码证书工作架构交予Digi Cert公司前发出的数码证书都不予信任，除了少数谷歌已经审视过安全状况的证书。这与Symantec推出的数码证书，不少有保安隐患有关。

由于中国相当多银行都仍然采用Symantec的证书，如果中国的银行不改变或更新数码证书的话，相信这将会造成极大的问题。但比起谷歌对付WoSign，或CNNIC的证书，由于仍然给予网站拥有人相当充裕的时间更新，相信暂时影响有限。谷歌会在Chrome 62版开始发出警告讯息，因此，有可能年底浏览网上银行网站时，会经常受到Chrome的警告讯息影响，而这影响会维持多久，要视乎中国各大银行对更新数码证书所持的态度。

转载原文链接 https://www.rfa.org/cantonese/firewall_features/firewall-xrat-09152017085406.html?encoding=simplified

如果你还是那么幼稚地觉得你说的，你做的没什么的，你对安全上网还不去重视的话，那么请你时刻记住，错的往往不是你，而是这个社会！

本电报频道 t.me/anquanshangwang 会转载一些关于安全上网的文章，这些文章都比较浅显，请务必仔细阅读，特别是关注或者参与正当权益维护的朋友，你不好好阅读，等某一天你被这个错误的社会送到监狱的时候，再想来看已经悔之晚矣！

最后请务必把本频道转发给你的每一位好友，救人一命，胜造七级浮屠！善哉善哉！