華為手機到底安不安全?科技專家神解析!生動模擬如何「9步驟」揪出小三的號碼和三圍…

2019年01月30日 08:00 風傳媒
政府禁華為手機引發產學大論戰,許多人都看得茫茫然,搞不清楚到底華為手機安全不安全,到底一般老百姓該不該擔心?科技公司執行長林宜敬就以淺顯的例子,來告訴大家禁華為的爭議點到底在哪,而手機廠又能蒐集到什麼個資。 (圖/翻攝自Facebook)

政府禁華為手機引發產學大論戰,許多人都看得茫茫然,搞不清楚到底華為手機安全不安全,到底一般老百姓該不該擔心?科技公司執行長林宜敬就以淺顯的例子,來告訴大家禁華為的爭議點到底在哪,而手機廠又能蒐集到什麼個資。 (圖/翻攝自Facebook)

禁用中國手機的議題近日炒得沸沸揚揚,科技公司執行長林宜敬近日在個人臉書發文分析華為的手機是否安全,以及講述模擬手機廠商是如何蒐集個資,包括利用「進階持續性威脅(APT)」9 個步驟,就可以得知朋友是否有小三,甚至小三的電話號碼和三圍都可以知道。

林宜敬在個人臉書發文,先是以「如何找到杜先生的朋友David?」為題做了情境模擬。 

此外,林宜敬也另外假設一個題目為「H牌手機廠商,想要知道杜O宸先生手機上的那位David究竟是誰?」然後列舉「進階持續性威脅(APT)」9個步驟,再列舉詳細的過程與推演手法。 

一、首先,我們會發出一個廣播訊息,要求所有的繁中版 H 牌手機都下載一段「更新程式」。

二、這段下載的更新程式中,包含了幾行程式碼,會去檢查那一台手機上的通訊錄當中,是否有「杜O宸」的手機電話?如果發現了,就把包含那個手機電話號碼的通訊錄條目上傳到總公司的研究部門。

這段程式在執行完畢之後,就自動把自己刪除掉,不要留下任何痕跡。

三、由於同名同姓的人很多,所以 H 公司的研究部門會收到上千條、或甚至上萬條關於「杜O宸」的通訊錄條目,但是我們稍加比對之後就會發現,有許多關於「杜O宸」先生的通訊錄條目,包含了「工研院」這個關鍵字,而且它們都是指到同一支手機號碼。

於是我們就可以合理判斷,那個手機電話號碼就是杜先生的。

四、我們再發出第二個廣播訊息,要求所有的繁中版的 H 牌手機另外下載一段「更新程式」。

五、這段下載的更新程式中,包含了幾行程式碼,會去檢查那一台手機的電話號碼是不是跟杜先生的手機號碼相同?如果相同,就去他的通訊錄當中,把所有標示為 “David” 的通訊錄條目都上傳到總公司的研發部門。同樣的,這段程式在執行完畢之後,就自動把自己刪除掉,不要留下任何痕跡。

於是我們就有了杜先生手機上的 David 的電話號碼。

六、我們再發出第三個廣播訊息,要求所有的繁中版的 H 牌手機另外下載一段「更新程式」。

七、這段下載的更新程式中,包含了幾行程式碼,會去檢查那一台手機上的通訊錄當中,是否有 David 的手機電話號碼?如果發現了,就把包含那個手機電話號碼的通訊錄條目上傳到總公司的研究部門。同樣的,這段程式在執行完畢之後,就自動把自己刪除掉,不要留下任何痕跡。

八、於是我們會蒐集到上千條、或甚至上萬條關於 David 這個人的通訊錄條目。稍加整理之後,我們就可以知道他的真實姓名是什麼?在哪裡上班?家裡的住址在哪裡。

九、歐,不能再寫下去了。再寫下去的話,我們連 David 是不是有小三,他的小三的電話號碼跟三圍都可以知道。

而且,我根本就沒有當過駭客。我在這邊所寫的方法,都是我憑空想像出來的,手段粗淺,恐怕會被真正的高手笑。還有,我必須鄭重聲明,我說的是 HTC,而不是另外一家 H 牌手機廠商。因為另一家 H 牌手機我實在惹不起。

值得一提的是,林宜敬也針對華為的手機是否安全,做長篇的分析。

以下是臉書全文

【華為的手機安全嗎?】

一、華為的手機安全嗎?最近幾天,杜紫宸先生跟張善政先生先後對這件事情發表了言論,搞得網路上沸沸揚揚的。

其實他們兩位雖然都曾經在大型的科技公司擔任高階主管,也當過高官,但畢竟一位是經濟學家出身,一位的專長在土木工程與蓋廠房,而且畢生光明磊落,沒幹過間諜。所以套一句諸葛亮的話來說,他們兩位「雖知兵法,但不懂詭計」,他們應該不知道駭客們是怎麼搞破壞、竊取資料的。

二、不管是發展間諜組織,或是要透網路在手機上搞破壞、竊取情報,一般都是經過三個階段:

第一個階段是「安插內應」,派自己人加入敵方的組織,或是在敵方的組織當中吸收一個關鍵人物;

第二個階段是「暗中發展組織」,讓之前安插在敵營當中的內應,接引我方後續派過去的間諜,或是吸收敵方現有的人員,擴大間諜組織的力量。

第三個階段是「接獲指示,搜集情報或是搞破壞」。之前兩個階段所發展出來的間諜組織,沒事不能輕舉妄動,曝露自己的身分,只有在接獲我方的秘密指令之後,組織才會動起來,或是搜集特定的情報,或是進行特定的破壞。

三、1940年法國被納粹德國佔領之後,法國人在佔領區就是依照這樣的模式發展他們的地下反抗軍。

他們平時按兵不動,看起來就像是規規矩矩的平民。但是他們都會收聽「倫敦廣播電台」,而廣播中總是會有一些非常無厘頭的「個人訊息」,像是「Jean有很長的鬍子」,「保險公司失火了」等等。

納粹德國的佔領軍也知道,那些無厘頭的廣播訊息都是盟軍給法國反抗軍的秘密指令,特定的反抗軍接收到特定的廣播訊息之後,就會去搞一些特定的破壞,但是德國人一點辦法都沒有,只能設法去干擾倫敦廣播電台的廣播訊號。

而在1944年6月5日,倫敦廣播電台開始朗誦法國詩人 Paul Verlaine 的一首詩,霎時之間,所有的法國反抗軍都動了起來,因為他們知道那首詩就是一個暗號,盟軍將在24小時之內登陸法國。

四、網際網路時代的駭客,在「安插內應」的階段會先想辦法在你的電腦或手機中安裝一個後門程式,這個後門程式通常很小,是你在瀏覽色情網站或是使用不良的App時,不小心下載下來的。

這些後門程式往往看起來很善良,自己不會搞破壞,但是他們會「暗中發展組織」,從網路上下載他的黨羽、也就是其他的惡意程式到你的手機或是電腦上。

而這樣的動作是很難防止的,因為大部分的防火牆或是防毒軟體等網路安全防護措施,都是在防止外人找到你的手機或電腦、或是防止外人直接存取你的手機或電腦上的資料,但是他們不會防止你手機上的程式去取得網際網路上的資料。

所以一旦出現了內賊,而且這個內賊是從你的手機或電腦往外去取得網際網路上的資料,那就像是法國反抗軍在偷聽倫敦電台的廣播一樣,是很難防止的。

更何況,這些內應在下載他的黨羽的時候,經常還會假好心的問你「是否要下載安全性更新?」天曉得,我們下載的究竟是警察,還是間諜跟搶匪?

而等到這些間諜程式在你的手機或電腦上發展好組織之後,他們就會耐心等候中央的廣播指示,或是定期主動與中央聯絡。

譬如說,如果微信上突然出現了一首吳三桂所寫的詩,而且指名是要獻給張XX先生,那說不所有叫做張XX的民眾,當他們在手機上看了那首詩之後,他們的通訊錄就會主動被傳回祖國去做分析。 

五、照許多西方國家的說法,華為手機上的「內應」,並不是使用者在瀏覽色情網站的時候不小心下載的,也不是使用者在下載某些特定的App之後才出現的。那些內應,是出廠的時候,就存在於手機上面的。 

六、華為手機的爭議,其實就在於西方國家大多只找到了華為手機上的內應程式或是機制,而這些內應程式跟機制,看起來就跟一個納粹德國佔領區下的法國農民一樣,天真無邪。你不能因為他家有一台收音機,就斷定他一定會偷聽倫敦廣播電台;你也不能因為他晚上偷聽倫敦廣播電台,就斷定他一定是間諜,直接把他抓去槍斃。 

七、所以最終的問題,並不在於法國農民家裏有一台收音機,也不在於法國農民經常聽廣播,甚至於也不在於法國農民在聽了廣播之後,經常會找一些形跡詭異的人去他家開趴。

最終的關鍵,在於法國農民聽的是倫敦廣播電台,而你是不是認為倫敦廣播電台是敵方政府在背後操控的?而那個政府是不是對你有敵意?

林宜敬

台灣大學資訊工程系畢業,美國布朗大學電腦科學博士,曾任台大棒球隊三壘手、美國 IBM 華生研究中心研究員、華通電腦資訊工程部副理、趨勢科技新產品研發部協理。2002 年創辦艾爾科技公司,專注先進語言教學系統研發,推出「MyET」口語學習軟體,現擔任執行長。

文/張岑宇
本文、圖經授權轉載自智慧機器人網(原標題:華為手機安全嗎?他神解析後,再教你 9 步驟揪出小三電話號碼和三圍)
責任編輯/趙元

 

 

加入Line好友

【我要發風】

風傳媒歡迎各界分享發聲,來稿請寄至 opinion@stormmediagroup.com,並請附上姓名、聯絡方式、自我簡介,謝謝!

我想再看到這個主題