Re: [新聞] 驚！背地打包資料傳中國 成大教授揭華

作者IloveBlack2 (我愛花媽花媽愛我)

看板MobileComm

標題Re: [新聞] 驚！背地打包資料傳中國　成大教授揭華

時間Fri Jan 25 13:18:10 2019

為防止中國竊取我公務機關機密，政府部門陸續禁止公務部門使用華為手機，公務用3C產品也將禁止連結中國網站或下載中國APP軟體，結果遭到部分人士質疑。對此，成功大學電機系教授李忠憲分析後表示，華為可能暗藏後門，長期駭客重要人士，取得更多有利資訊傳送中國，李忠憲強調，「千萬不要貪小便宜買中國製的手機或智慧家電設備」。 ID-1744582 ▲成大教授李忠憲指出，使用華為手機恐導致用戶資訊全被傳送到中國。（圖／翻攝自騰訊網）公部門擬禁用中國製的通訊產品，此舉也引發工研院前主任杜紫宸批「why bother？」杜紫宸認為，若自己本身使用華為手機但電信商是中華電信，那麼手機又如何能傳送資訊給中國？對此，李忠憲表示，杜紫宸這樣的說法，顯然「這個人沒有任何網路的基本概念，可能連網路分成幾層都不知道」。李忠憲說，若使用華為手機，手機暗藏後門，因為只要有任何的網路連線，不管是中華電信、遠傳或台灣大哥大的4G服務，或是無線網路Wi-Fi等等下層的網路連線，手機上層的這些應用程式就可以利用下層網路隨時隨地傳送資料到中國的資料庫。李忠憲指出，即使在政府機關內，針對華為手機的用戶做嚴格的網路管制，但在內網流量分析和利用資安設備管制後門所造成的可疑連線之後，華為手機一樣可背地收集、打包資料，然後利用沒有管制的商業用電信服務傳送到中國。針對杜紫宸也曾質疑，若他的通訊錄上都是Nancy、Henry、David等人名，那就算傳到中共國安部門又如何能辨别身分？李忠憲說，杜紫宸不曉得落後時代有多久？事實上，駭客攻擊中有一種叫做進階持續性威脅（Advanced Persistent Threat，APT），已經出現10 年，是針對個人或特定組織所作的複雜且多方位的網路攻擊。李忠憲表示，潛伏攻擊的時間可能長達幾週、幾個月甚至幾年，將目標通訊過程、電郵內容、談話語音、影像紀錄等都經暗門傳送到中國資料庫，所以華為背後的中共國安單位不僅能知道Nancy、Henry、David等是誰，還能知道電話號碼、家裡住哪裡，甚至還可以知道你跟他們之間是什麼關係，長什麼樣子，今天你和誰吃飯、在手機聊了些什麼，更不用說手機拍的照片影像紀錄也都會被傳送到中國的資料庫。李忠憲舉出自己一名CEO等級的朋友，其家中買了一個中國製的智慧家電，後來感覺家裡網路變慢了，經網路流量分析才發現，家中語音跟影像24小時無間斷送往中國，已過了好幾個月的透明人生活。李忠憲直呼，「千萬不要貪小便宜買中國製的手機或智慧家電設備」，畢竟在這個時代「資料比錢更有用」，一定要小心中國製的資訊通訊設備就在你身邊。 ---- 其實就很簡單啦，整篇就是恐跟可能在圍繞，華為手機會不會回傳中國資料庫？當然會。只要透過監聽封包並分析就可佐證此事，不用恐，也不用可能，就是會回傳。但是回傳之後做甚麼事，你不知我不知只有獨眼龍知。你買美國廠牌，資料就回傳美國；你買中國廠牌，資料就回傳中國，應該不難懂？整篇恐來恐去可能來可能去，一個舉證都沒有，結果最後舉證的不是手機，說CEO買了中國牌子的智慧家電，分析後發現整天傳輸視訊影音的，台灣能買到有視訊鏡頭的中國智慧家電，八成是在說小米攝影機。只要任何手機登入小米帳號，在任何網域都可以查看家中的小米攝影機，這就是他的賣點，要做到這件事勢必資料得傳到一個中介處儲存。否則傳統IP Cam，你除了需要自己架設外，還須一並處理相關的網路環境，不做這些事，你就只能在LAN下查看，要不然就WAN中裸奔。這件事根本連分析都不用分析，它的原理就明擺著需要回傳了。更別說拿小米攝影機會背後傳輸影音為證據，證明華為資料提供給駭客？反正你的資料都會回傳，看你要傳給誰，你相信美國就可選美國牌，你相信中國就可選中國牌。中國手機在台市佔率最高的是Oppo，中國IoT在台市占率最高的是小米，幾乎是99%以上了，要禁中國廠沒有意見，反正政府決策可以自訂，結果狂打華為而不先禁這些市佔率高的廠，實在有點奇怪。要全禁也很簡單，TGFW，台灣長城，中國進出封包全封鎖，只是政府敢不敢做罷了，否則你以為用非中國產品資料就不會回傳中國嗎？商店裡面一堆佔據下載排行榜的都是中國App。最後推薦大家，有家中攝影機的需求可以買Wyze，真的很佛： https://www.wyzecam.com/ 一台只要20元不到，附送免費AWS空間，影像存在AWS中14天才刪除。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 103.227.42.8 ※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1548393497.A.D7D.html ※ 編輯: IloveBlack2 (103.227.42.8), 01/25/2019 13:20:40

推 jasn4560 : 正解 01/25 13:20

※ 編輯: IloveBlack2 (103.227.42.8), 01/25/2019 13:22:13

推 tomsawyer : 20鎂才對ㄅ 01/25 13:21

推 kinmengon : 原來你是來賣攝影機的 01/25 13:24

推 gg068187 : wyze有送國外嗎？地址只能選美國境內的樣子 01/25 13:25

推 rog1125 : wyze跟小方不是一模一樣中國製嗎？ 01/25 13:25

推 iPhoneX : 插座或燈具類的有推薦嗎？ 01/25 13:27

推 BIGT : 中肯 01/25 13:29

推 GameGyu : 真要玩，中國進出封包全封鎖還是不夠，跳板是可以 01/25 13:33

→ GameGyu : 全世界的 01/25 13:33

→ IloveBlack2 : wyze的硬體完全就是小方而不僅僅是MIC XD 01/25 13:34

推 kuokuokuo915: 我也覺得很可笑。整天在那邊後門，但是又沒有實質 01/25 13:44

→ kuokuokuo915: 證據。只會說回傳資料，問題是回傳資料是每個手機 01/25 13:44

→ kuokuokuo915: 都會的。這時候又說中國是敵國跟其他不一樣，那麻 01/25 13:44

→ kuokuokuo915: 煩先禁掉oppo，他市佔比華為還高 01/25 13:44

→ taipeiol2008: 有後門什麼時侯用駭客最知道手機品牌如果敢做只 01/25 13:57

→ taipeiol2008: 要被抓到一次新聞馬上發佈用戶就會開始索賠金額 01/25 13:57

→ taipeiol2008: 將會讓一家公司倒閉就算沒倒產品再也無法賣出了 01/25 13:57

→ taipeiol2008: 凡走過必留痕跡網路封包沒有抓不到的 01/25 13:58

→ taipeiol2008: 哪個品牌敢作？只要國家情報單位敢作 FBI 01/25 14:01

→ taipeiol2008: 歐美律師最喜歡這種案子有後門的話賺翻了 01/25 14:03

→ taipeiol2008: 新聞看看就好正確與否各自邏輯思考一下 01/25 14:05

→ taipeiol2008: 重要機構耽心手機還不如耽心各國的情報單位監聽網 01/25 14:11

→ taipeiol2008: 路封包至於一般平民老百姓還不值得用後門誤生意 01/25 14:11

推 kinmengon : 看生意做多大的嘍！ 01/25 14:12

→ dslite : 小米可以買因為它開放bld解鎖 kernel原始碼也開放 01/25 14:18

→ dslite : 華為可以嗎? 01/25 14:18

→ dslite : 連bld鎖都不給解加上這個國家的誠信誰敢用 01/25 14:19

→ erisiss0 : 還不就利用民族主義去作商業競爭而已，超無聊 01/25 14:22

→ erisiss0 : 是不是真的根本不重要。反正就是想扎草人而已 01/25 14:23

→ erisiss0 : 請問稜鏡計畫是不是一樣的問題 01/25 14:24

→ erisiss0 : 阿手機如果絕對不回傳資料回廠商，要怎推送更新 01/25 14:26

→ erisiss0 : 所以這種事情根本就不可能有任何廠商沒有回傳的阿 01/25 14:27

→ erisiss0 : 重點就是要有證據，人家回傳個資之後拿去作不正當 01/25 14:27

→ erisiss0 : 的運用。或是在規範以外的資料回傳 01/25 14:28

→ erisiss0 : 在那邊哇哇叫說有回傳去中國，人家的伺服器在中國 01/25 14:28

→ erisiss0 : 不回去難道直接放爛喔 01/25 14:29

→ erisiss0 : 說真的台灣政府如果有膽就設計台灣防火長城 01/25 14:30

→ erisiss0 : 一切資料出海外都要審查，按中國版本長城設計 01/25 14:31

→ erisiss0 : 保證安全。有沒有膽這樣作而已 01/25 14:31

→ erisiss0 : 不然回傳去其他國家然後賣給中國還不是一樣對不對 01/25 14:32

→ birdy590 : 形式可以說是漏洞你聽過哪家產品有漏洞倒掉的 01/25 14:32

→ birdy590 : 產品有安全漏洞連賠償都不用不然台灣廠商也賠死了 01/25 14:32

→ IloveBlack2 : 小米開放官方bootloader解鎖所以可以買我笑了 01/25 14:34

→ IloveBlack2 : 還真的沒料到會有這種神奇論點 01/25 14:34

→ birdy590 : 有解鎖可以刷完全開源甚至與中國無關的系統 01/25 14:36

→ xbearboy : 不知道在主機板上的間諜晶片找到沒？ 01/25 14:38

推 jasn4560 : 估計只有日本找到吧資安領先美國 01/25 14:38

→ IloveBlack2 : 用第三方ROM談隱私不是認真的吧 01/25 14:48

→ dslite : 小米敢全開源為什麼不能買? 笑? 01/25 14:48

→ dslite : 第三方也都全開源啊怎樣都比華為好吧 01/25 14:49

→ dslite : 你叫得出名字的rom github都有source code可以抓 01/25 14:50

→ IloveBlack2 : 哈囉你說小米全面開源請問opensource code在哪 01/25 14:50

→ IloveBlack2 : 小米只能找到 Kernel opensource code,MIUI的在哪? 01/25 14:53

→ IloveBlack2 : 歡迎提供一下我相信全xda的開發者都會很感謝你 01/25 14:54

※ 編輯: IloveBlack2 (103.227.42.8), 01/25/2019 14:55:15

→ dslite : 自己去找micode @ github 01/25 14:56

→ dslite : 我一開始就說kernel source 01/25 14:57

→ IloveBlack2 : 光是2017陸板小米瀏覽器會玩dns filter就直接打臉 01/25 14:57

→ IloveBlack2 : 你以為整個os執行中只有kernel能傳輸? 01/25 14:58

→ dslite : https://github.com/MiCode/patchrom_miui 請問這 01/25 14:59

→ dslite : 是不是miui source code? 01/25 14:59

→ IloveBlack2 : 2 years ago, really? 01/25 15:00

→ IloveBlack2 : and btw, stock apps not included. 01/25 15:02

推 birdy590 : 軟體要埋漏洞埋到很難發現很容易, 硬體就太難了 01/25 15:03

推 ya8957 : 推一個 01/25 15:03

→ birdy590 : 對 MIUI 不滿可以自己去刷整套開源的, 其實也有人用 01/25 15:03

→ birdy590 : 尤其新版的 MIUI 在舊機上其實評價還蠻糟的 01/25 15:04

推 eric525498 : 推這篇 01/25 15:41

推 ctes940008 : 小米刷機之後應該有好一點 01/25 15:47

→ qazwsx0128 : 恐傳擬就是沒證據 01/25 16:04

推 hygen : 中共不可信，但用不用中國手機看個人，反正政府機 01/25 16:17

→ hygen : 關不用是合理的，預防是在未發生之前做的，等真的發 01/25 16:17

→ hygen : 生了，已經來不及了 01/25 16:17

→ roudolf : 如果政府重要機構沒有限定公務的手機，才真的奇怪 01/25 16:41

→ roudolf : 吧…不然為什麼以前大家很愛用黑莓機，所以不用東 01/25 16:41

→ roudolf : 扯西扯一堆，然後那個ceo例子我覺得他是認真的嗎… 01/25 16:41

推 doubleugly : 難得在手機版看到一個頭腦清楚的 01/25 18:50

推 kittyIloveU : 推 01/25 18:54

推 furukawa : 這一篇真的是比較理性看事情的 01/25 20:06

推 arslupin : 白癡成大教授跳坑，麻煩偉大的教授挖掘出後門，那 01/25 23:05

→ arslupin : 樓下的後門隨你插 01/25 23:05

噓 MobileComm : 沒本事就不要在那邊亂講你說的連網 NAT Portmappin 01/26 07:24

→ MobileComm : g 跟區網外網根本跟此案無關你要辦到懶人連線功能 01/26 07:24

→ MobileComm : 一堆服務都能做到這跟傳到伺服器是兩回事好嗎 NAS 01/26 07:24

→ MobileComm : 品牌幾乎有做這事照你邏輯所以檔案要傳到群暉?qnap 01/26 07:24

→ MobileComm : ?整篇亂講一通沒念過書就不要用自己使用者體驗在 01/26 07:24

→ MobileComm : 那邊瞎掰學理 01/26 07:24

推 ReDmango : 說不用傳到伺服器結果用NAS來舉例我快笑翻了 01/26 09:27

噓 Mincky : 李宗憲算台灣資安界大咖了吧 01/26 09:28

推 michaeljo : 對岸製品有資訊安全疑慮算是常識吧。 01/26 09:49

推 MattOwl : 高調 01/26 13:27

→ aero6688 : 回傳可以，但交給共產黨那就是在危害世界 01/27 01:52