公共Wi-Fi和公共USB充電的私隱風險

免費的公共Wi-Fi可以為互聯網用戶節省流動數據的使用量;公共USB充電站亦無疑為即將用盡流動裝置的電池的人士提供很大的幫助。不過,當你享受免費Wi-Fi和公共USB充電服務帶來的便利時,你又有否想過這些服務可能對你的個人資料私隱帶來潛在的風險?

資料保安是《個人資料(私隱)條例》(《私隱條例》)的重要一環,並載於《私隱條例》附表1的保障資料第4原則(資料保安原則)。該原則訂明,資料使用者須採取一切切實可行的步驟,保障持有的個人資料不會未經授權或意外地被查閱、處理、删除、喪失或使用。雖然法例規定機構和企業須確保已交託予他們的個人資料的安全,但資料當事人本身亦應對應用不同的資訊科技所可能帶來的私隱風險保持警覺,一如他們會謹慎保存他們其他個人財產一樣。

免費的公共Wi-Fi通常是一個開放的Wi-Fi網絡,它容許公眾在無須認證的情况下方便地連接互聯網。換言之,任何人(包括惡意黑客)均可連接至同一個未經加密的Wi-Fi網絡,對Wi-Fi用戶的個人資料保安構成風險。

公共Wi-Fi的私隱風險

其中一種常見的安全風險名為「邪惡雙胞胎」(Evil Twin)。作為網絡攻擊的一種形式,網絡罪犯會設置一個「虛假」及惡意的Wi-Fi熱點,並利用這個看似是真正而合法的接入點,引誘Wi-Fi用戶連接他們的電子裝置到這個假冒的Wi-Fi熱點。之後,網絡罪犯便可以讀取Wi-Fi用戶的網絡數據傳輸,截取他們的短訊或電子郵件等通訊訊息,並盜取他們的個人資料。例如,黑客可以在鄰近酒店的海灘上設置一個假冒的Wi-Fi網絡,其標示名稱與酒店提供的Wi-Fi網絡名稱相類似,一旦你連接到這個假冒的Wi-Fi存取點,你的資料就可能被讀取、盜取或操控。

如沒有使用加密的Wi-Fi網絡,用戶在其流動裝置和Wi-Fi路由器間發送的個人資料便不再以「密碼」形式傳輸。使用同一Wi-Fi網絡的其他用戶便可讀取你的通訊資料。不安全的Wi-Fi熱點還可成為一個媒介,讓網絡罪犯分發惡意軟件,或容許電腦病毒或電腦蠕蟲從其他受感染裝置傳送到Wi-Fi用戶的便携式裝置。網絡罪犯更可截取Wi-Fi用戶的敏感資料,如聯絡人資料、密碼及個人賬戶資料等。他們甚至可鎖定用戶的便携式裝置,導致裝置死機。

使用公共Wi-Fi的實用提示

公共Wi-Fi畢竟不及私人(家庭)Wi-Fi安全,在連接到公共Wi-Fi熱點時,採取以下預防措施可以提高個人資料的保安:

  • 檢查公共Wi-Fi以確保其可信性;
  • 不使用Wi-Fi服務時關閉Wi-Fi功能;
  • 使用Wi-Fi服務後,從「慣用網絡」設定中刪除,以避免將來會自動
  • 連接;
  • 使用虛擬私有網絡(Virtual Private Network),通過建立私人網絡,把一些在流動裝置和網絡之間傳送的資料進行加密,從而防止黑客讀取或接觸這些資料;
  • 在進入網站時,使用保密插口層(Secure Sockets Layer)「https://」,以便電子銀行帳戶、電子郵件和社交網絡帳戶等敏感資料可以被加密,而不被截取;
  • 確保手機或其他便携式裝置受到防火牆和反惡意軟件的保護;
  • 替流動或其他便携式裝置安裝已提供的更新軟件,以解決保安漏洞;以及
  • 避免透過公共Wi-Fi傳輸敏感的個人資料。

另一方面,越來越多公共USB充電站出現在機場、火車站、商場和咖啡館等公共場所,當中一些充電服務可以在付費後獲得。不過,使用公共USB充電站服務的用戶在給手機充電時,需留意「USB充電站詐騙」(juice jacking)的風險。

公共USB充電的私隱風險

「USB充電站詐騙」是一種網絡攻擊形式。黑客透過在公共場所設置假充電站,進行對流動裝置的攻擊。 「USB充電站詐騙」有兩種常見的類型,第一種類型名為「資料竊取」,即通過假充電站從流動裝置偷取敏感資料;第二類是惡意軟件安裝,被設定程式的充電站會在已連接的流動裝置上安裝惡意軟件,以便持續地收集不同類型的個人資料,甚至在解除與流動裝置的連接後遙距控制流動
裝置。

使用公共USB充電時的實用提示

為保護流動裝置及保障最終儲存在裝置內的個人資料不會因「USB充電站詐騙」的網絡攻擊而被竊取,用戶使用公共USB充電時可參考以下一些實用建議:

  • 驗證電源並直接使用交流電源插座為流動裝置充電(而不是使用USB);
  • 自備只供充電的電線以防止資料從流動裝置與公共充電站之間往來傳輸;以及
  • 使用自備的外置充電器,而不是透過公共充電站為流動裝置充電。

我們在享受這些「智慧」措施為日常生活帶來方便的同時,對個人的資料私隱和潛在的私隱風險保持警惕尤其重要,以免這些私隱風險導致你的個人資料被濫用作欺詐等非法行為。

Jurisdictions: 

大律師,香港個人資料私隱專員