看板 MobileComm作者 dansy (Eye Taiwan)標題 Re: [討論] 資安問題是不是需要認真討論一遍?(隱私)時間 Wed Dec 18 14:31:43 2024
中國(陸版)手機到底有沒有資安問題?
直接回歸到最底層邏輯
Q1.中國(陸版)手機主體銷售對象是?
A1.中國平民
Q2.中國平民的個資、財產資料誰最清楚?
A2.中國政府
就以上兩個簡單邏輯就能理解,中國政府本就擁有所有中國平民的個資、財產資料
根本沒必要去費力監控每一隻中國(陸版)手機來獲取
*************************
個資疑慮解決了,接著繼續討論--通訊、網路瀏覽、消費資料等隱私問題--
Q3.假設中國政府透過中國(陸版)手機來監控所謂的"反共產政府人員",如何規避?
A3.買支"非陸版手機"
Q4.假設你是中國政府,你會允許A3情況發生嗎?
A4.不允許。
會改從網站/app伺服器端資料著手
不論使用者使用任何手機,只要網站/app伺服器在中國都能監控
**************************
再來討論最後所謂的--定位問題
Q5.假設中國政府透過中國(陸版)手機來定位&追蹤人員位置,如何規避?
A5.買支"非陸版手機"
Q6.假設你是中國政府,你會允許A5情況發生嗎?
A6.不允許。
會改由追蹤sim卡訊號,搭配道路監控人臉辨識系統、電子支付位置等資料確認
不論使用者使用何國手機,均可以保證在中國境內直接定位
**************************
以上簡單邏輯辯證,不是要幫對岸共產政府說好話
實際上監控人民通訊與資料這檔事,全世界政府都默默在做
搞情報的都是聰明人,監控幾千台伺服器就能搞定的事
根本不會選擇費力去監控幾億支手機這種吃力不討好的做法XD
--
--
※ 文章代碼(AID): #1dOcnH7O (MobileComm)
※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1734503505.A.1D8.html
推 strikeone: Exactly 一堆似是而非的言論可以休止了 真理越辨越明
美國該增加抹黑中國的預算了XDD1F 12/18 14:54
推 se2422: 直接從源頭開始下手 中國政府哪會跟人民那麼客氣4F 12/18 15:03
推 coollee: 簡單說 非陸版全世界使用者都會抓bug的
想搞事也是影響自己的銷售額 目前 搞這事代價太大5F 12/18 15:04
→ alonli: 全世界的政府有哪一個會對人民客氣的 介紹一下7F 12/18 15:07
→ WOGEchidna: 還是那句話,怕就別買,買就別怕,別人認為個資疑慮那是別人的想法,網路筆戰從來都說服不了對方8F 12/18 15:11
推 se2422: 筆戰本來就不是要說服對方 而是不斷地要重複自己的觀點10F 12/18 15:14
推 xoy: 第一段有點問題,中國政府不一定有非中國人民的個資,現在不就是在討論非中國人使用中國版手機嗎?其餘觀點沒什麼意見12F 12/18 15:19
沒錯阿 本文就是論證"中國版手機"(又稱"陸版手機")
銷售對象就是中國平民 => 根本不需要內建監控
所以可以推導出,是不是中國人來使用"中國版手機",結果都是一樣的
至於國際版有沒有疑慮,我個人是覺得機率也不高
畢竟能從伺服器端監控,中國情報單位與品牌不至於傻到被全世界抓個現行犯
再說的更明白一點,即便你用所謂的美版iphone
只要你上淘寶、京東買東西,或者上bilibili看影片
還是有可能會被習大大知道你的喜好的.....
但在那之前,其實拜登老頭早就知道你平時都看啥YT配飯,在AZ上買什麼送老婆了XD
→ WOGEchidna: 中國版本的手機、中國品牌但海外版本的手機,這兩個也要分清楚就是了15F 12/18 15:20
推 strikeone: 怕資安跟滿清害怕鐵路一樣 台灣守舊派冥頑不靈 老殖民地了 只能學日本當年殖民台灣揍一頓才會乖17F 12/18 15:54
推 xoy: 監控行為從伺服器端收集是一條路,收集用戶端傳來的是另一條,之前歐美對中國網通產品的疑慮就不是伺服端的設備而是中間段的,另外有個人資訊跟收集個人行為是兩件事,在中國的確伺服器到網路都可以高度控制,但這跟從用戶端收集行為甚至加密資料的需求是分開的20F 12/18 16:09
其實看那些發表報告的研究機構跟政府關係就知道
都嘛是先畫靶再射箭,不然預算怎麼來?
退一步來說,有人注意過微軟Windows更新中有個選項"傳遞最佳化"嗎?
表面上說是用P2P技術加快更新下載速度
但整個Windows都是閉源的,誰知道背地裡上傳什麼資料?
推 xoy: 如果我確定政府只管網路跟伺服器,那很簡單我找個加密的方式通訊政府就不知道我的行為了26F 12/18 16:12
理論上是沒錯,但政府可以從其他管道預測你要幹嘛
比如你採買什麼物品,訂幾號的車票之類的
全部都是從伺服器端就能監控
推 xoy: 如果我知道政府監控伺服器,當然就不會用一般的管道買啊,難道中國都沒走私這件事?28F 12/18 16:27
肯定是有的,不過你說的比較像毒販/黑幫行事
但老實說對岸政府可能比較關心人民會不會起義聚眾鬧事:)
推 xoy: 其實這跟是不是中國也沒一定的關係,任何國家就算有完全掌握網路跟伺服端的天羅地網,有些事情想辦法從用戶端直接收集還是最有效而且可能是唯一的方法30F 12/18 16:33
你說的應該是針對特定對象,透過社交工程在對象手機/電腦植入監控程式
針對高價值目標研究分析,肯定是最費人力但也最有效的方法
但這種監控方式不能同時灑向幾億人阿:)
噓 sunen: 中國組裝的手機或零件到底有沒有資安問題,無法證明沒有請不要使用
在台灣連網的伺服器有沒有用中國貨,你知道嗎?34F 12/18 16:38
推 xoy: 收集資訊可以是固定的如街頭監視器,我們都知道某些國家的人臉辨識技術不錯,另外收集的方式也不是要就全開,有幾億支手機沒錯,但是我可以選擇收集的對象,要用再開就好。如果啦,我覺得某些地區有點怪,我收集連線該地區手機的資料即可,只要後門是我可以開關的即可38F 12/18 16:47
那就回到文中的Q3
所謂的"異議份子",可能早就拿非中國手機,請問你要怎麼監控?
所以在中國版手機上預設監控是沒意義的,有心人士早避開了:)
反過來說,要監控所謂的異常事件(聚集)
可以參考最民主的DPP王義川大將軍之前吹牛的"電信訊號分析"
根本不用手機上傳,連群眾的個資都能知道了
推 xoy: 那是你把收集這件事以為只要針對誰就好,但是收集的目的是找出刻意隱藏的關聯,每次討論這種問題常常網友會說我不重要,但這不是你決定的,你無意間的行為能連結到某些對象時,你自己不知道的行為就是有價值的44F 12/18 17:04
實際上是政府要監控人民有太多方法
你說的這種就屬於大數據關聯分析
從伺服器端取得資料是最完整也最快的方法
從手機端著手反而是最慢也是最下策
→ xoy: 電信訊號跟手機直接看是兩回事啦49F 12/18 17:05
同樣的問題,你確定特斯拉回傳的只有車前鏡頭影像?
不包括車內感應器數據?
噓 issemn: 你會被噓 幫補血60F 12/18 18:19
噓 Chen73: 好了啦 全世界就中國最危險61F 12/18 18:29
剛吃飯看到的新聞,差點噴飯
果然中國是世界最危險的,連大蒜都可以威脅美國國家安全 :)
「佛羅里達州參議員推動在美國雜貨店移除中國大蒜,並在軍事基地禁止使用中國大蒜」
https://i.meee.com.tw/tuWTKzY.jpeg
→ xoy: 大數據的前提就是要收集數據,有伺服器是當然的但是不可能只有伺服器,不看國家,企業的資安方案通常不會僅限在伺服跟網路端,BYOD是有限制的。已經花了極大物力蓋網路長城跟眾多人力做言論審查,有沒有動機做徹底一點?62F 12/18 18:34
同一件事肯定有很多種解決方案,重點在於成本
先別說數量,光中國機繁雜的品牌與型號,天知道要處理多久?
還不如從伺服器端數據著手...
推 mike198: 重點是專制或民主監控。67F 12/18 18:35
是阿,有民主價值,做壞事也變成好事:)
推 goisjkps: 太幽默了 把犯人關在監獄圍牆裡面他們就自己會自動變乖了68F 12/18 18:50
推 vbotan: 立意良善的監控 懂嗎
這裡一堆被王義川看屁眼很開心的 還要說服他們什麼71F 12/18 19:05
辨到最後就成了信仰問題 信者恆信 不信者就算了
但想說的是 『對岸可能壞,但人家不蠢』:)
推 seiten137: 台灣數發部可是領很多經費應該有做事73F 12/18 19:36
推 xoy: 大國的技術能力是不用太懷疑,但是如果天羅地網這麼強那也不用搞x國版國際版,除了谷哥退出之外就是74F 12/18 19:48
搞陸版/國際版主要是基於成本&專利考量
→ xoy: 資料落地,這也不是本國品牌而已,蘋果三星一樣資料要留在國內而且被查不能拒絕,所以收集資訊留在國內是現在進行式,不是什麼幾億支不會做,只是傳76F 12/18 19:48
你舉的蘋果與三星的例子恰好可以說明資訊收集的氾濫並不止於中國
只是中國市場夠大,有能力讓蘋果三星跪著把伺服器留在中國
有個關鍵一直沒提出來,實際上在中國,電信門號是"實名制"並且綁定電子支付
只要從基地台端就能分辨出封包所有者的信息
壓根不用透過手機側錄上傳來確認使用者個資
也完全不用去煩惱手機品牌、系統、OS版號等複雜問題
所以關鍵點是電信訊號實名制,根本沒必要監控手機
→ xoy: 什麼回祖國而已,今天拿中國版蘋果在國外用資料應該一樣傳回貴州。79F 12/18 19:49
推 zsp8084: 總之就是信仰問題 愛用就用管別人怎麼說幹嘛83F 12/18 20:19
推 xoy: 中國版手機把資料傳回中國就是監控的手段,只是要不要看而已。一開始我也覺得只要天羅地網夠強大用戶端的設備可以不理的想法很有趣,但是缺陷很多就如我前面的舉例,
加上回傳資料而且落地就對了,這才相對完整。回傳什麼資料我不去臆測,但是機制是存在而且已經這樣運作84F 12/18 20:31
再幫你整理一下思路
從根本邏輯上,"透過陸版手機側錄上傳加強監控力度" 這個策略就是無效的
會買陸版手機的平民,中共並不需要加強監控
而中共想加強監控的異議份子,從根本上就不會買陸版手機
所以你說要透過側錄設備來加強監控的邏輯壓根不成立....
推 kaz: 黑熊部隊來了92F 12/18 21:06
推 educk512: 所以美國是吃飽太閒在那邊禁止TikTok拆中國路由器?94F 12/18 21:24
推 banbanzon: 特區拉也會收集用戶隱私數據啊 但為了懟車媒自媒體 把用戶隱私數據從雲端調出來公佈 只有華為幹得出來95F 12/18 21:41
推 piyopiyolee: 傻了你,就跟資料存雲端本地端就不備份了嗎?兩個可以一起做為什麼不?98F 12/18 22:00
推 banbanzon: 用手機打個比方 今天有UP主自行購買手機做測試橫評 結果成績難看讓手機廠很不服氣 你要是該手機廠會如何處理?要嘛找其他自媒體也做同樣橫評 要嘛聯絡UP主再送測幾台機子並找第三方機構人士做見證 而大菊花的做法是把UP主自行購買的手機 於測試當下及前後的狀態數據 從雲端調出來公佈 來質疑測試不公 我就問這種做法大家接不接受得了?100F 12/18 22:05
電動車我不熟
只大概看過新聞,似乎是UP主惡意扭曲測試結果,然後華為惱羞成怒公布後台數據
這種好萊塢式的狗血劇情就不評論了XD
推 xoy: 上傳資料就是已知在做的事,跟是不是側錄無關,重點是機制是存在的,力道是可以掌握的,就像網路長城只要機制做好了,現在不會擋科技上網,不代表做不到,這都是技術面的事,預設用戶一定是誰才是安全系統最詭異的假設107F 12/18 23:00
唉...都說監控方法千百種,但要考慮執行成本
這樣說吧 你堅持的上傳資料定義是什麼?
A.使用者與網站/app互動資料? => 這部分本來就保存在伺服器端,不用額外上傳
B.使用者詳細個資? => 回到Q1 Q2
C.使用者帳號密碼? => 有伺服器端資料,還用得著嗎? = =;
除非是只存在手機端且不與網路交互的資料,比如反清復明名單之類的XD
針對這種少數重點對象,自然會有黑客、或情報人員用社交工程去處理
而不是瘋狂上傳14億台陸版手機數據,並祈禱重點對象會傻傻的用陸版手機
推 xoy: 我不用去定義上傳的資料是什麼,前面就說了,伺服器的帳密早就可以是加密過的無法單純從伺服器端解出,而且我一直沒說要瘋狂上傳幾億支手機的資料,112F 12/18 23:37
我有點混亂了@@
推文堅持說陸版手機會不斷上傳資料的是你
現在又說是我的前提? 是有什麼誤會嗎?
我的論述是只要使用者有使用中國網站/app等網路服務
伺服器端就會有互動資料留存,中國政府就能夠直接獲得伺服器端的資料
根本不必脫褲子放屁,再從使用者手機側錄帳號密碼解密
→ xoy: 這反而是你的前提。今天我不用管用中國版非中國版手機的是誰,需要的時候在中國長城一關只有中國版115F 12/18 23:37
是阿,這不就是我本文Q3、Q4的論點嗎?
只要掌握伺服器端的資料,誰管使用者是用陸版還是美版手機,政府都能監控
所以跟本沒必要花費力氣監控每一隻陸版手機、額外上傳資料
→ xoy: 手機能用就夠了,因為機制我已經準備好,除非用衛星或飛鴿傳書
這次韓國戒嚴很失敗的是掌握電視台是沒意義的,手機網路直播從頭就一直傳送到全世界,這種事在有準備的國家是不難阻止的,當然不是平常就會用到的東西,題外話117F 12/18 23:37
推 away612101: 談大數據,結果不談收集什麼,怎麼收集,用於何處然後又在資安的文扯到長城?
邏輯蠻亂的要不要先試著請AI幫你順一下
那我也順便提一下,加密解不回去幹嘛加
解不回去也不需要解的叫做雜湊好嗎…123F 12/18 23:57
※ 編輯: dansy (23.158.104.231 香港), 12/19/2024 00:13:54
推 cpomax: 有人一直鬼打牆欸XDD
大數據收集到了,你有想過後續要怎麼處理嗎?
如此龐大雜亂的資料要怎麼歸類,就是個大問題了128F 12/19 00:17
→ Crios: 有些對岸的APP反而比中國手機危險131F 12/19 00:40
→ Pourquoi31: 想賺你的錢 跟想要你的命 還是有程度上的差異 不過便宜治百病啦132F 12/19 02:09
推 APC: 只要 ZF 有需要,手機商還是會依當地法律迅速把後門掰開134F 12/19 04:38
推 xoy: 伺服器端加密過的資料就靠使用者端的Key去解啊,[只有]伺服器端的資料看到的只是亂碼跟使用者解密成不成功而已。136F 12/19 04:51
你說的加密是指帳號密碼被加密傳輸,並與伺服器端儲存的hash值比對
實際上你的個人訊息、瀏覽/訂單紀錄...等資訊
在伺服器端資料庫中可能是明碼儲存(最低級)或使用其他DB權限加密
負責任一點的會把個人信息DB與其他DB隔離開
但並不是用使用者的帳密去加密
舉個淘寶的例子,如果用"使用者帳密"加密,那淘寶後端程式怎麼幫你處理訂單?
沒有你的密鑰,怎麼在你離線時把資訊轉給廠家與物流?
又或者雙11過後馬雲大大想了解一下銷售情況
沒有所有人的密鑰,系統怎麼去資料庫撈資料做客戶與銷售商品的連結分析?
推 xoy: 資料落地跟掌握伺服器我很認同這是很重要的控制手段,但只有這個是不夠的,加上電信控制也不夠,非中國版的設備不用裝SIM卡只要用Rand MAC上網就好了,要靠長城擋掉翻牆的路,非中國版的設備根本不需要連中國境內的伺服器139F 12/19 07:05
噓 ccufcc: 中國政府不靠手機監控加強?根本不需要手機?146F 12/19 12:00
推 GTR34: 簡單來說 一堆VPN背後老闆都有中國跟美國影子147F 12/19 12:14
※ 編輯: dansy (23.158.104.231 香港), 12/19/2024 15:04:34
推 xoy: 把商業伺服器當作一切的確就是你說的,但是資料落地重點不是購物網站,而是放品牌用戶資料的地方,這種伺服器為了跟客戶推銷隱私都會強調就算原廠也無法不透過用戶設備讀取資料,蘋果就是最喜歡推銷這一套的,現在中國版蘋果都是雲上貴州,但是蘋果要是沒唬爛政府或他要取得用戶資料不可能只靠伺服器資料,除非中國版蘋果伺服器有藏後門給自己跟政府
蘋果之流的公司也會強調生物資訊或用戶重要特徵是不會傳到伺服器的,這是隱私的基本,除非中國版不一樣148F 12/19 18:09
--