華為通訊產品引發了歐美各國的資安疑慮,手機資安危機論戰,張善政找網友開直播

手機資安危機論戰,張善政找網友開直播

華為通訊產品引發了歐美各國的資安疑慮,許多國家祭出封鎖的措施,而我國政府也禁止公部門使用該廠牌設備,又再接著祭出不許公務電腦連線到中國社群網站等命令,針對這樣的現象,許多名人紛紛在網路上發表自己的看法--有些人認為政府管太多,而不少人則是覺得,面臨臺海政治與資安情勢惡化,千萬不能調以輕心。前行政院長張善政便為了之前的言論,邀集和沛科技創辦人翟本喬和網友陳盈豪(CIH)兩人,於1月30日12時30分在臉書與YouTube平臺直播,從技術層面探討手機的資訊安全。

張善政日前曾在臉書上指出,工研院禁用華為手機的規定方向有誤,他認為手機要被植入後門的管道是來自App,而非硬體,因此認為該單位沒有必要採取上述規範,導致引發網友批評,張善政的論點太過粗糙。為此,張善政於昨日又再臉書上表示,他擔任過政府的資安高層,是從系統建置的角度著手,但因為沒有參與攻防實戰經驗,坦言自己對於資安實務認知上的不足,他想要尋求真正的專家,今天的直播便是第一步。

手機軟硬體都可能成為遭到攻擊的弱點

陳盈豪曾任職於技嘉公司,為該公司生產的手機修改Android作業系統,他表示手機廠商最佳化該系統之後,修改後的版本,必須通過Google的CTS(Compatibility Test Suite)認證,以確保與Play市集App的相容性,但不代表修改後的作業系統安全無虞。翟本喬也說,他的公司曾經從事Android作業系統修改,客戶往往會質疑,都更動到了作業系統底層,能否確保裝置的安全性呢?翟本喬表示,包含他們在內的手機製廠商,後來為了取得客戶的信任,乾脆採用Google原本的作業系統程式碼,再加上自己開發的專屬App,予以修改系統相關功能,減少變動作業系統層衍生的顧慮。

不過,手機廠商就算不修改作業系統,但硬體和韌體等其餘部分,仍是廠商自己所掌握,因此,陳盈豪說,若是從這些方面著手,前述的Google驗證措施無法找出潛在問題。陳盈豪認為,這就像電影駭客任務,因為所有的驗證程式在廠商掌控一切的手機上,App形同在廠商虛擬的假世界,若是業者動了手腳,檢測軟體將難以發現,所以,許多資安專家執行相關檢測時,會一併檢查連線到外部的網路流量。

若是有心人士從手機韌體下手,陳盈豪說,為了避免燒到裝置的韌體,在各種可能的情況下遭到解讀,導致自己的意圖被發現,他們會將程式碼再做額外的處理。

基本上,手機業者掌握了大部分的軟硬體,因此陳盈豪認為,廠商若要從中加入惡意內容,我們難以透過現有的檢測方式發現。這也是先前在臉書上,他批評張善政的原因。

翟本喬另外補充,從硬體層面的攻擊手法,還包含了搭配Wi-Fi無線基地臺等網路設備的方式,若是手機與網路設備都是由相同廠商提供,該業者還可以利用網路設備竊取手機的資料,再暗中傳送到特定的駭客接收端,由於從硬體和韌體事先串連,這樣的做法便不易被發現。因此,翟本喬認為,使用者最好裝置與網路設備能採用不同廠牌的產品,甚至應該要選擇敵對國家推出的裝置與設備。

除了從手機製造的供應鏈下手,針對作業系統本身的弱點,駭客還是可以發動攻擊。陳盈豪說,Android手機上玩家所謂的Root,就是一種利用系統的漏洞,進而取得最高存取權限的方式,同樣的原理,也適用於駭客發動攻擊上,若是駭客取得相關權限後,就能以合法行為掩蓋非法,例如,駭客可由Gmail的正常封包,洩露使用者手機上的內容,他強調,上述濫用漏洞手法還難以追查其來源IP位址。

消費者應從品牌挑選自保

根據上述的情勢,陳盈豪表示,使用者要自保,就需要把關應用程式要求的權限,是否為合理存取範圍,但他也認為,一般使用者通常會儘快完成App的安裝,不太會判斷那些是不需要授權的要求,因此,陳盈豪說,另外一個管道,就是購買自己信任廠商的手機。

翟本喬也認同這樣的看法,並認為使用者相當仰賴廠商的自律,因此從行動裝置的廠牌挑選,就相當重要。他之前在臉書上就曾提過,廠商自律是商業考量,而非技術層面的問題,固然,技術到位的產品,消費者才願意買單,但是,手機廠商若想要從製造的供應鏈下手,消費者根本無從防範。翟本喬說,消費者挑選的考量,包含手機廠商所在的國家法律是否健全,能夠在發現問題時,保護消費者的權益;另一方面,則是業者營運的目的,若是單純為了營利,便不會拿石頭砸自己的腳,破壞自己的聲譽,比較不會在製造過程中動手腳。

他也舉出了Google的名言Don't Be Evil,認為這是一個高明的商業手法,這句話背後的含義,就是因為廠商不做壞事,所以能得到客戶的信任,客戶願意採用該公司的產品。翟本喬說,並非Google高風亮節,而是因為遵從這樣的宗旨,他們才能永續經營。

基本上,有些廠商為了取信客戶,甚至會讓客戶檢查原始碼,這包含了程式碼、編譯工具、電路圖、製程等等,而且必須由客戶重新編譯後,得到相關的結果,才能證明製造商的清白;也有些業者會將上述的資料和工具,交由第三方單位封存,以便日後驗證之用。

但檢驗原始碼的做法,難度其實相當高。張善政也舉出過去中國大量採購國外資訊設備時,便以資安考量為由,要求業者提供相關的原始碼,而我國也順勢要求微軟提出。雖然我國最終取得了微軟的原始碼,然而最終這些好不容易獲得的資料,也難以加以用來驗證。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏