看板 MobileComm作者 allen501pc (Linux User!)標題 Re: [討論] 不用中國機 卻用中國APP的心態是?時間 Thu Aug 26 22:31:15 2021
不好意思,原文有點長,稍微節錄一些片段來回覆。
※ 引述 《d062637776》 之銘言:
: 但國際版ROM的中國手機系統如果有後門
: 早就被各國玩家發現了
這個說法有邏輯漏洞喔,只要找到「一個反例」就可以反駁這個論點了。
「小米手機偷傳資料到北京?iThome找資安專家實測:有」
https://www.ithome.com.tw/news/89991
:
: 像蘋果最近不是才被國外玩家發現在IOS 14的系統就內建蘋果說的能掃描“防範兒童色情
”
: 的程式碼
: 就這麼確定中國真要你的資料卻拿不到嗎
: 光光臉書的背後不就是中國嗎
臉書Facebook 後面不是中國喔,臉書是美商企業。
其實現代資訊安全強調的是「相對安全性」,並沒有所謂的「絕對安全」。
任何的資訊安全保護手段,都是建立在一定程度的制度與防護基礎之上。
對中國廠商出的系統有疑慮的人士論點在於,中國政府的法規,可以在沒有直接明確證據情
況下,強行調閱資料,而且這個手段存在模糊地帶。
美國政府若也是這樣操作的話,因為它的司法獨立性相對完整,政府會被告到翻掉的。但中
國政府這樣做的話,使用者能夠告得贏嗎?稍微動動腦想一下就知道了。
這樣的資安問題觀點,不斷地在中國廠商出的系統上打轉。這也是中國廠商想要走出海外的
硬傷。
通常,我們要說這個系統不安全,都要找到一些決定性的證據。
有些論點會說,「啊歐盟這些資安相關機構最後還不是說找不到證據」。
這個其實有個誤區存在,在資安的攻防上,我們要能夠回答找到何種「決定性」的證據證明
這個系統竊取了「哪些數據」?
一旦敏感數據是經過壓縮、加密、切割等手段處理過並在適當的時機傳遞的,負責檢查的防
守方根本很難察覺得到。
再補充一點,我沒記錯的話,台灣NCC只有做電磁檢驗並放行的,它並沒有強制要求每家手
機廠商要做資安檢驗。況且送驗當下只要沒觀察到「不當的數據被傳出」,也只能說有通過
,但並不表示這支手機之後都是安全的,這個都要端看手機廠商的良心。
對這些資安一系列議題有興趣的人,可以上網查找一下一些資工系的課程「資訊安全」或是
「密碼學」,裡面就有解說一些資安理論基礎與規範,而不是人云亦云。
--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 223.141.183.11 (臺灣)
※ 文章代碼(AID): #1X9wMrKN (MobileComm)
※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1629988277.A.517.html
※ 同主題文章:
Re: [討論] 不用中國機 卻用中國APP的心態是?
08-26 22:31 allen501pc.
推 mossdevin: 版上沒有人要看法律的問題,對岸資安法端出來那個企業能不給?蘋果中國帳號都放貴州隨時供瞻仰了1F 08/26 22:39
→ d062637776: 臉書早就是中國的形狀了...
另外臉書自己也承認會給中國資料哦
中共如果強行跟XX手機企業要某一個該公司手機使用者手機的資料 那麼能拿到隱私資料最多會是什麼?3F 08/26 22:41
推 good5755: 臉書的那個資料是瀏覽資料...不是個人資料
應該是個人的cookie吧 這算不算個資?7F 08/26 22:47
→ kof2200: 我說「拒買中國品牌、中國製造、中國軟體」才是真正的正港且愛台的台灣人。9F 08/26 22:53
推 mossdevin: 臉書都可以幫未註冊的人做 profile 備著等他註冊
補齊相關連結了。
即使有人完全不用臉書,臉書卻可以靠Instagram F
acebook WhatsApp 週邊的人的活動抓到不知名人士
的可能喜好與疑似活動範圍,而且台灣地方政府疫情直播都只用臉書直播,根本瞎爆11F 08/26 22:57
推 supermars: 什麼叫做後門? 就是有需求的時候可以伸進去找資料做查證,譬如臉書上跟人對罵到雙方互告時,可要求臉書調查雙方的私人言論、或陰謀計畫~
手機也有偷偷留"後門"偷偷蒐集你平時聊天的聲音去分析並作為廣告推送的來源~
像前面的蘋果兒童色情調查權(之類的)文章也是一樣,哪家廠商製作的數位產品,都有後門,只是看後門如何被使用而已。使用者有沒有做壞事、我不覺得有什麼被偷看、也不覺得有什麼好看的XD 全天下用手機的人那麼多..壞人那麼多...監控一般民眾要衝蝦XD
文章內提到:【美國能但、中國行嗎?】
這就跟當地人才有直接關係,當地的社會型態、觀念習慣、生活型態..都跟民主社會不太一樣!
不要拿美國的套用在他國身上,每個國家都不同。18F 08/26 23:08
→ dxzy: 這篇幾乎空白 怕到我不敢看32F 08/26 23:16
→ supermars: 民主的美國可以告的成(百分之百???沒有例外??)
那民主的台灣嘞XD33F 08/26 23:17
→ GTR12534: 如果你覺得去識別化之後的資料算是個資的話35F 08/26 23:20
→ allen501pc: 我在文章一開頭就提到「相對安全性」,沒說資料在其他美國公司手上「絕對安全」,就不會被拿去亂搞喔。但按照美國的法規,你是有憑有據可以進行提告,且有機會獲得賠償的。
再來,蘋果公司有聲明說台灣使用者的資料不會被放到雲上貴州的伺服器,既然不會被放上去,中國政府通常也就調閱不到機敏資料囉。36F 08/26 23:43
噓 cityport: 美國不就稜鏡!
史諾登吹哨,結果什麼下場44F 08/26 23:49
噓 d062637776: 你這麼相信蘋果的聲明 然後忽視小米的聲明?46F 08/26 23:53
→ allen501pc: 還有,臉書的profile技術,要建立在幾個基礎之上:cookie、使用者提供的聯絡人資訊等。通常在做profile模型的話,第一步會先做去識別化,再交由其他專責單位進一步處理。這樣子就有助於做到資料分層防護的效果,讓僅只有某些層級的人,才有辦法獲得授權,看到資料全貌。47F 08/26 23:54
→ d062637776: 蘋果聲明掃蕩兒童色情掃描icloud合情合理
小米聲明上傳IMEI比對正貨就是資料外洩
原來如此53F 08/26 23:56
推 shuhao233: 設計對白: 不管啦,感覺綠共.美共.日共政府也差不多,天下烏鴉一般黑56F 08/27 00:13
推 issemn: 當NCC吃素的 不做安全認證?58F 08/27 00:14
→ allen501pc: 一切的資安基礎都是建立在「相對安全性」啊 。稜鏡計畫這個在資安界也被哭夭過,呵呵。59F 08/27 00:14
→ issemn: https://reurl.cc/O09Ng3
NCC於109年下半年至110年第1季針對電信事業109年第1、2季銷售量較高且未取得資安認證之10款不同廠牌智慧型手機,以及3款業者自有廠牌與2款其他中國大陸廠牌手機,進行手機系統內建軟體之資通安全檢測,經完成初測、複測及改善程序後,有14款手機通過檢測。一、初測(110年1月)即通過:APPLE iPhone 11。
二、複測(110年4月)後通過:初測未通過,經手機製造商積極配合改善後複測通過,包括SONY XPERIA 5、三星GALAXY A20、HTC DESIRE 19S、ASUS ZENFONE MAX M2、台灣大哥大A55及A57、SUGAR C13、紅米REDMI
NOTE 8T、華為Y9 PRIME 2019、OPPO A9 2020、Koobee S16、REALME XT、VIVO Y12等13款。61F 08/27 00:15
→ shuhao233: 通常這類"我反正感覺他國和祖國支那差不多邪惡" 的平等論李中客份子,卻同時在八卦仇甲仇女.....etc,蚵蚵75F 08/27 00:19
推 ray90910: 你的論點存在很大的漏洞
你說因為美國法規的一般民眾可救濟性遠遠大於中國,所以外商手機資料安全性遠比中國安全。
但,法律僅僅是規範社會行為底線的原則,存在一條有限制、懲罰的法律,並不代表在當地該禁止行為就不會發生,相反地,常常看到的是因為當地該限制行為氾濫,才進而立法或是加重懲罰
所以你從法規嚴格度來斷定該國家就不會有此侵害行為是完全沒有邏輯的。84F 08/27 00:22
→ allen501pc: 要開始打烏賊仗了嗎?我原文貼的例子,不知道有沒有人仔細看?
「也沒任何同意資料蒐集動作,小米手機就會自動回傳用戶手機號碼到北京。」
這個涉及的是資安程序與保護問題:1. 在沒有使用者同意的情況下,就先回傳資料。2. 資料使用明文傳輸。不懂的人,麻煩再去補一些相關知識。93F 08/27 00:24
推 ray90910: 一樣有問題啊?推文也告訴你其他手機也會未經使用者同意回傳資料,那麼在不論中國西方都會回傳的狀況下,你用法規來說明中國比較危險,這就沒什麼說服力跟邏輯啊?已經變成信仰之爭了104F 08/27 00:31
噓 d062637776: 所以結論你還是不相信小米聲明嘛 蘋果聲明就好棒棒110F 08/27 00:34
→ allen501pc: @ray 大,我在文章中提出的論點,也是其中幾個「疑中系統」的支持者會提的問題。不可否認地,中國當地的法規司法救濟性比較差,特別是刑法相關條例(有認識留歐的中國籍法律研究生告訴我的)。這也是有些台灣人不太喜歡中國製手機系統的理由之一。
當然,我也相信有努力做好個資防護的中國廠商。114F 08/27 00:40
推 issemn: 設計對白: 不管啦,NCC強制檢測測不到變成幫中國背書怎麼辦,中國烏鴉就是黑的126F 08/27 00:54
→ allen501pc: 請問d大,我有說我不相信小米聲明嗎?我只是把以前的小米做過的事蹟作為一個例證。因為它曾做過違反資安跟隱私條款,而且是發生在國際版的ROM上喔。從事資安研究的人,只要看到不合規的樣態,而且手法實在太低級,很難不往更壞的方向想。
說實在的,真的想認真討論的話,請把資安攻防跟對應條文衍生法律條文會引發的爭議寫一篇文章出來探討一下吧。
不然一直在那邊幫忙設計對白什麼的,實在看得很頭痛。要不要一起定義個小論文研究題目啊?
https://bit.ly/3jmf9M9128F 08/27 01:01
噓 square4: 如果谷歌不能掌握魔改aosp有沒有後門,那安卓不就大亂,可能為各自國家組織利益服務?谷歌自己有像cts、vts之類的測試,安卓廠也有開源kernel,反而白牌機才不安全140F 08/27 01:21
→ jyekid: 看小米的聲明就如同看中華人民共和國憲法一樣 你要相信也沒辦法144F 08/27 01:23
推 supermars: 所以說穿了,又是你個人的想法想直接套用在你不信任的中國身上,但卻有沒有辦法提出任何值得信任的資料網路世界需要的是求證、不是靠情緒、靠偏見~146F 08/27 01:29
→ allen501pc: 唉 ,只是從資安的問題來發想,卻惹來一堆不明究理的人在懷疑我一直唱衰跟偏見。
我只是講出事實跟可能的影響。 1. 從法規管理、執行跟行政救濟層面來考量,若有其他選擇,中國製手機不會是我的第一順位; 2. 我自己從事過資安相關研究,只要是發生過低級資安管理問題的廠商,我是不太可能列入優先考慮選項之一。連這麼低級的錯誤都能夠發生,還有什麼不可能的呢? 3. 歐美廠商當然也很機車啊。但至少它被抓包了,還有得被嘴被罰,然後設下更嚴格的條款來約束自己,這也是建立在「相對安全性」概念之上,也是一個基本的信任問題。149F 08/27 01:56
→ allen501pc: 這邊發了一些論文資料給你們了,就慢慢去生研究文獻探討吧。等看完再來好好討論吧。
這樣講一個案例,就到處說:「啊那個OOXX不也這樣?」、「說到底你就是有偏見」這種聲東擊西、對人不對事潑髒水式的言論,實在是回應不完。
麻煩先看完別人的探討文獻或是一些資安領域的攻防、隱私條款文章衍生的議題,整理完思路後,請你們再來好好回一篇文章吧。請記得先把 緒論、相關文獻 等內容準備好再來回應吧。162F 08/27 02:04
推 juin2500: 共產國家公司的聲名有什麼好信的 科科 d06自己愛用繼續用吧
聲明171F 08/27 02:10
推 RLAPH: 所以原po相信NCC檢測嗎? 問你這就好177F 08/27 02:48
推 ax113: 我也不信小米聲明 買來只玩遊戲178F 08/27 03:09
推 RLAPH: 可以請比NCC資安還厲害的原po說一下嗎? 我很想聽聽高見179F 08/27 03:36
推 q2825842: 腦袋壞了才會拿美國出來類比。中國在資訊方面的管制和監控,不論在程度還是範圍上都遠大於其它國家188F 08/27 08:16
推 hoohjoe: 美國企業要你資料就想拿去賣廣告,風險差太多了190F 08/27 08:35
→ bnn: 我們信的是美國可以把企業告到飛起來
也相信美國律師為了錢可以把蘋果告到倒的動力191F 08/27 09:35
推 good5755: 小米資安就是爛啊 華為ov都沒出事 就小米出事
不是小米爛是什麼 難不吃是有內鬼在小米總部喔193F 08/27 09:45
推 Justec: 終於出現正文了195F 08/27 09:48
推 jbuilder1022: 有碰過資安基本上對中國的王通產品都會有疑慮,不然台灣政府核心網路印象中有規定不能用中國品牌196F 08/27 09:57
推 iMANIA: 推 基本上就是就法治國家與人治國家的信任程度不同198F 08/27 10:11
推 ppit12345: 其實這篇說的人搞不懂美國政府的組成,美國政府其實是很多組織的結合,這些組織都有各自的軍隊,司法,公務,所以才會出現美國海巡都可以屌打歐洲最強軍隊的笑話,所以司法獨立卻只針對聯邦,旗下各組織根本不鳥司法獨立這回事。尤其是美國兩大情報組織199F 08/27 10:19
→ dxzy: ptt不就是95%看熱鬧 5%看門道(好了我承認誇大)這樣提出質疑要別人回答自己的的厚問 不理它就開始囂張總之謝謝原PO 有很多參考價值 傻子就不管了204F 08/27 10:35
推 issemn: 所以才說半杯水響叮噹呀…207F 08/27 10:38
→ dxzy: 你誰?208F 08/27 10:40
推 RLAPH: 欸資安大師原po要不要說下NCC有沒有做資安啊?209F 08/27 11:11
推 Tahuiyuan: 送NCC檢驗時可送無害版韌體,上市後經過更新推送含後門或惡意軟件的版本一點也不困難。
有情蒐義務的中國人和中國公司,就是不能信任,像手機這樣的攜帶型裝置,更不該使用中國產品。210F 08/27 12:34
推 soweiz: 推個,一般法治國家的情況跟中國是不能類比的214F 08/27 12:48
推 MengXian: 可是資訊安全是必修外系可能會擋QAQ215F 08/27 13:39
推 craig: 美國企業都是賺錢沒良心的啦!217F 08/27 14:06
→ dxzy: NCC的資安是洗地式的資安 之後要出事他絕對不會發現出了事情最後洗個地結果再來個part2他還是不會發現就好比水質檢驗員是站在旁邊看你喝水喝到出現噁心然後就好心的拿走你手上那杯 看看倒出來的兩杯 請用218F 08/27 14:29
推 charles03292: 根本不存在公平就是單純信任問題,蘋果谷狗都是邪惡企業但是在這個網路沒隱私的時代我寧願被美國監看也不要被中共開後門,也不用酸怎麼不抵制中國製造,就是兩害相權取其輕而已222F 08/27 15:21
推 ww1234528: 拿菱鏡計畫出來講也不會合理化中國更侵犯隱私人權的事實
更何況只要是台灣人都脫離不了美國的東西 你說美國監控你所以轉頭用中國的東西 結果不是你被中國監控 是你被中國美國雙重監控226F 08/27 16:40
→ Kismeter: 反正就是不買中國機
美國?結果兩大手機系統還不是美國來的231F 08/27 16:52
--