看板 MobileComm
作者 allen501pc (Linux User!)
標題 Re: [討論] 中國品牌的資安問題
時間 Sun May 18 14:03:41 2025


我以前博士論文一部分跟資訊安全有關。

坦白說,資訊安全這個領域,牽涉的層面很廣泛。

從軟體更新、漏洞防堵、軟硬體販售所在國或是擁有國法規賦予的權力與執行面問題、個資
保護等都需要通盤考量。

1. 大家常在嘴的所有東西都生產自某大國,為什麼筆電/電腦就不會有這種問題?反而手機
容易被質疑?

你要看這些是硬體生產自該國,還是連同軟體都「生產」自該國? 如果我沒記錯的話,以W
indows為例,它就至少分為兩個版本,給對岸使用的,就不會放到國際版使用。如果是單純
硬體製造,硬體都是標準模板製造,資安問題漏洞機率就小很多,軟體就可以拆開來區分版
本出貨。


但是,手機作業系統的想像空間就很大。一樣有區分為國際版跟中國境內版,就看該手機業
者自己怎麼切換版本出貨?

2. 自己的個資不重要啦!對方也不會閒著沒事去監控。

這個只能說對一部分。

前提是,你的一言一行有沒有被捕捉或是被演算法判定為可疑人物,甚至是進一步偷偷監控


這種通常都是從對岸的軟體比較容易取得你的資料(畢竟聊天或是對話紀錄都存在對方雲端
空間上)。以成本考量的話,都是搭配一些常用的軟體演算法去撈取,層層過濾完畢之後,
判定風險層級,再進一步判定是否需要額外手段?


所以,有時候對岸人士都知道哪些言論在網路上講很危險,都會打擦邊球或是不在網路上講


至於一般的對話紀錄,也幾乎不會被過濾出來做風險管控。

以前有對岸的同事在某聊天軟體講很多事情酸上頭,卻發現對方都沒收到他的消息,原來被
系統屏蔽了,他也不知道,系統也沒告知他,可能是啟動過濾機制被擋了),但放心他沒事
 ,他也知道他這種話不會被抓去問話,頂多是被要求刪文。這種事情在他們眼中早已見

怪不怪了。

3. 之前台灣某政客說可以讓電信業者監控分析特定人群?

只能說這個OO亂講話,在嚇唬人。

以前認識的朋友做過這類的工作,主要是用來作人流或是熱點分析,用來向一些潛在客戶
推銷在哪些時間地點投放廣告比較實用這樣(但真的超級難做!)

電信業者只能知道手機訊號強弱,以及網路上的傳遞「加密」資料。以常見的SSL/TLS加
密而言,根本沒辦法分析出來,因為都被加密了。只能知道這些使用者在連哪些服務,頻率
有多高?

熱點強弱就只能使用電信業者的基地台去做類似三角定位,搭配GPS(GPS這要看個資法規
範,印象中沒獲得授權也沒辦法輕易取得)把人定位在某幾個大樓內,但也沒辦法知道樓層
或是精確位置。而人名跟電話,因為個資法的關係,一開始就被碼掉了。

4. NCC都通過手機販售了啊,就沒有資安問題!

只能說,NCC在做手機販售許可,都只管硬體層面有沒有問題(例如電磁波、網路頻段)
,軟體層面的漏洞管控,根本沒在管的好嗎!更何況這種東西只要一不小心(或是故意),
透過軟體更新就又跑出一個洞在那裡,防都防不完。

所以,不要再說NCC通過就等於資安沒問題!

--
Sent from my iPhone 14

 PiTT // PHJCI

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.234.56.29 (臺灣)
※ 作者: allen501pc 2025-05-18 14:03:41
※ 文章代碼(AID): #1eANW_pn (MobileComm)
※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1747548223.A.CF1.html
※ 同主題文章:
Re: [討論] 中國品牌的資安問題
05-18 14:03 allen501pc
jansan: 推 內行文1F 05/18 14:05
WeiMinChen: 推一個2F 05/18 14:06
allen501pc: 而對岸的法律訴訟,民法相對於刑法來說,比較安全。所以常出事的都是幫忙維權的律師(因為常涉及刑法或是行政層面問題)。3F 05/18 14:07
ssshleo: 推6F 05/18 14:08
segio: 怕監控就別用手機.
理論上任何手機你都有可能被監控.7F 05/18 14:12
rurumi855357: 筆電/電腦也是有可能,所以我都盡量不買對岸品牌(雖然CP值較高)9F 05/18 14:14
tomsawyer: 我記得那時後3.是在說 可以透過基地台定位在遊行集會的人群
多匹對幾次就可以知道某些人的傾向了
我覺得在理論上是做的到11F 05/18 14:14
allen501pc: 3. 的部分我跟你說做不到!因為你拿到的是一堆內容物加密過的二進制資料,根本沒辦法做關鍵詞匹配這些的。15F 05/18 14:16
tomsawyer: 合不合法另說
跟內容無關 是你在這個時間出現在某個特定場合 高度次數 這樣就可以中了18F 05/18 14:16
allen501pc: 因為你要拿到對方的傾向,首先要取得清晰的內容物。我們實驗室以前也做過網軍分析比對,前提都是要有「特徵」,這些特徵都是從「可解析」的內容做處理。例如FB, PTT推文。
因為個資法關係,連電話號碼都屏蔽了喔:)21F 05/18 14:18
tomsawyer: 至於要監控內容 raw封包不行 是沒錯
所以我說這個前提是電信公司有乖乖抹除所有的個資只提供服務 但現實顯然不是這樣
我只能說 我認為3. 無視法律是可以做到的26F 05/18 14:20
allen501pc: @tomsawyer 你也有認識電信業者領域的朋友?:)30F 05/18 14:23
belion: 要乖乖抹除:),且只提供服務,現實面...在強大力量下.....31F 05/18 14:25
se2422: 有敏感文字偵測吧  只有中國的手機能做到光明正大的 其他手機廠不好說 但是之前有新聞有報有文字偵測33F 05/18 14:36
tetani: 被歐美監控感覺比較可怕 看看以色列bb扣
還有fbi會跨國抓人
至於中國 只要非政治狂熱者 幾乎不會有事
台灣就不少MIT產品被踢爆 是中國產品換外殼而已35F 05/18 14:39
yinaser: 其實任何資訊都可能被監控方法太多了想不想而已39F 05/18 14:43
spfy: 沒有好不好的問題 只有自己能不能接受 以前在中國工作 平常完全不聊政治只是普通的聊天 同事也會聊到一半直接切斷跳話題 我覺得這絕對不是什麼"非政治狂熱"就不會有事這麼簡單 但可能這樣說的也不會回來看40F 05/18 14:46
f0936649477: 看A片都會被監控了,大家就放寬心吧44F 05/18 15:03
markhbad54: 3.提供給"普通"分析公司當然會碼掉個資
但是.......45F 05/18 15:17
chi17: 網路講到資安錯的比對的多大部分人根本無法判斷47F 05/18 15:19
decorum: 對岸要開打的時候 只要軟體更新 就能癱瘓電信系統幾百萬隻中國手機成為ddos攻擊的散兵坑48F 05/18 15:39
mnxzq: 3說的是監控人出現在哪個位置 又不是說監控使用者瀏覽什麼內容 扯SSL幹嘛?50F 05/18 16:01
milk830122: 腦袋是個好東西 照某些人邏輯 美國人也一樣能做到這些事 畢竟他們控制軟體52F 05/18 16:02
ccw2013: 網路查得到的叫內行文,青鳥可愛
在幫政府用中國資通訊的問題洗地嗎呵呵54F 05/18 16:16
shokotan: 黨國都是他們的 中華電信外洩個資也是有可能的吧56F 05/18 16:25
soulman826: 真正戰爭手機絕對無法使用,管你ios 或安卓或其他不用等他國手段,台灣政府先關閉基地台,所有網路直接無法使用,講得好像只有陸機有事?57F 05/18 16:25
sank: 推60F 05/18 16:32
p40403: 中國因為微信支付關係,要實名認證,公安可以直接監控對話61F 05/18 16:48
Ahhhhaaaa: 戰爭的時候手機可以用FM收音機63F 05/18 17:00
bigsun0709: 中國法律規定全部中國公司要配合中國調取任何資料64F 05/18 17:04
barttien: 檯面上vs檯面下。 會被告vs不被告65F 05/18 17:08
p40403: 公安甚至可以直接開中國手機的後門做監聽66F 05/18 17:10
aegis43210: 第三點也不對,因為每個手機都有後門,只要能和美國調資料,要分析特定人群非常容易67F 05/18 17:15
[圖]
 
[圖]
wattswatts: 台灣大哥大Amazing A32手機遭植惡意程式,使簡訊OTP可被攔截,疑上百用戶淪為詐騙人頭帳戶 | iThomehttps://www.ithome.com.tw/news/14210071F 05/18 17:21
台灣大哥大Amazing A32手機遭植惡意程式,使簡訊OTP可被攔截,疑上百用戶淪為詐騙人頭帳戶 | iThome
[圖]
電信業者引進大陸白牌手機存資安漏洞,除了刑事警察局揭露事件調查經過,現在台灣大哥大也公告召回Amazing A32協助安全性軟體升級,而NCC更將對白牌手機採行更嚴格的管理措施。此外,簡訊OTP被攔截導致網路身分驗證不夠安全的狀況,可能也是這次事件下需要關注的焦點。 ...

 
aegis43210: 中國機也是一樣,反正自己知道風險就好74F 05/18 17:26
issemn: 第3點是真的喔,因為當時王義川是政府的人(現任身份是立委)他節目後受訪又強調一次資料是透過民間朋友取得,是後來被罵爆才改口說是個人去現場與觀看直播的判斷。這都有媒體紀錄75F 05/18 17:29
a79111010: 反正都有風險我當然買便宜的79F 05/18 17:30
amnotu: 你喜歡抗中保台損失金錢就去啊干我屁事80F 05/18 17:32
issemn: 還有第4點也錯了,NCC於108年起就開始推動手機內建軟體資安抽測了喔,以保障國人手機的資訊安全,所以不要再說NCC沒做事了81F 05/18 17:41
shokotan: 還記得疫情抓染疫者嗎? 一個抓一個準  個資法是笑話84F 05/18 17:42
issemn: 所以第3點真的不要拿百姓的角度去揣測政府跟你朋友一樣拿不到資料,同理適用中國、美國政府,只有他們想不想,沒有他們能不能的問題85F 05/18 17:58
ACGfun: 你的要這麼說的話 任何手機都有可能會發生漏洞88F 05/18 18:02
blueash: ncc那個手機軟體部份轉給數發部了吧
種花要撈特定人的資料 一定要法院送公文才有可能
但是就特定人 一整群的 別想了 真的幹這種事 在種花裡面絕對藏不住 肯定被爆料89F 05/18 18:06
jet22662266:93F 05/18 18:12
tr000064: 但這個板真的很愛大陸貼牌機94F 05/18 18:12
issemn: 數發部資安這塊肯定又比NCC更專業95F 05/18 18:16
xxxcat: 你覺得做不到不代表真的做不到96F 05/18 18:37
segio: 笑死.想買貴又爛的韓國日本機是個人的自由.
又沒人指著你的頭逼你買.在那邊逼逼啥.97F 05/18 18:46
good5755: 軟體開後門監控不難 很多網購或社群APP就可以做到99F 05/18 18:47
ohiu: 3是絕對做的到,只是法律規範部分你是拿不到,你拿到的分析資料已經去個資去識別化,看看警察都可以由電話去追蹤人在那個附近,所以王膝知這這言論很恐怖,政府已經在掌握反對人的資料305F 05/19 14:22
jay0215: 疑者勿用,用者勿疑309F 05/19 15:04
Bayern5566: 其他國家界線都很守分寸 只有中國全身敏感帶310F 05/19 16:19
waterdeep: 3. 加密大家都知道沒問題,但後面..311F 05/19 16:29
belion: 3...還好有王先知之前的說法來破題 xdddd312F 05/19 17:52

--
作者 allen501pc 的最新發文:
點此顯示更多發文記錄