香港在網絡安全研究方面處於世界前列。以香港中文大學為例,網絡及電腦保安專家張克環教授領導的研究團隊,早於2014年底,已首次發現Android內置的語音助手系統存在安全漏洞,黑客以遙距操控方式,在用家的智能手機上安裝一個惡意程式,執行語音攻擊的指令,透過語音助手對指令的反饋,竊取大量用戶的私隱訊息或資料,輕易繞過現有Android系統的數據保護機制。
張教授的研究發現在全球最具影響力的國際會議包括「網絡安全學術會議」及「國際黑客大會」(Black Hat USA 2014)中發表。論文頓時引起全球學術界、業界及媒體廣泛關注。今次Check Point軟件安全報告與張教授針對Android移動設備安全性的研究發現類同。兩者「雙劍合璧」,在商業應用及學術研究兩個層面相輔相成,在雙重證實下,Android移動設備的安全風險問題確實令人擔心。
Android是基於開源(Open Source)的移動設備操作系統,是「谷歌」轄下的軟件平台。Android平台亦提供開源軟件開發工具,讓有興趣人士任意使用開發自己的Android App。據statista.com公司發表的網上統計報告,在Google Play平台可供下載的Android Apps的數目約兩百萬個,當中七成是免費的。而餘下的三成Apps已為「谷歌」於2015年帶來20億美元的收入,更值得注意的是Google Play的總下載率於2015年已突破650億。「谷歌」認為未來將會有更多創新的Android Apps,下載Apps的次數亦會與日俱增。就此「谷歌」預測2019年Android Apps的收入將會高達140億美元。筆者認為此推測絕非天方夜譚,今天創新創業乃環球趨勢。
制訂檢測認證安全標準
實際上編寫Apps的程序員,不少並非是IT人, 缺乏與電腦科學相關的技術背景。即使是具有相關背景,他們也未必曾經接受過電腦及通訊保安的專門培訓,對於現在及未來Android設備所潛伏的安全危機,自然未必注意到。況且軟件安全是有代價的, App程序員深深了解到妥善保安須要額外投放大量資源及時間。然而,在分秒必爭的創科產業中,他們大多會選擇捨難取易,把Apps最快推出市場,忽略客戶安全。
俗語有云︰「有危便有機」,筆者認為香港政府可聯同IT業界共創商機。「檢測及認證」是政府支持的6大新興支柱產業之一,當中軟件認證也是主要範疇。若然官、產、學、研能緊密合作,盡快制訂Apps的安全標準,並要求開發商必須通過檢測,達標後加上政府認可(例如類似「Safe嘜」)的標籤,才能上架。在此安排之下,網民對在香港上架的Apps必然更具信心。進一步而言,香港可充當全球「App安全港」的角色。當然,要獲得如此信譽,官方必須在世界各國大力推廣「Safe嘜」品牌,而業界亦要通力配合,以公司開發的App產品獲取「Safe嘜」為首要任務。