你的鍵盤是大陸製作的，就不怕回傳記錄到北京？

文／黃郁棋 

 

大約是從太陽花學運過後開始，只要是來自中國大陸的電子產品，在網路上都會受到大小程度不等的攻擊與輿論批評。最近尤其又以「小米會回傳你的簡訊收件人電話、你的通訊錄、以及應用程式清單回北京伺服器」以及「微信Mac客戶端爆出會記錄使用者輸入內容」這兩個消息炮火最猛烈。

 

 

而對小米傷害最直接的，應該是IThome找來F-Secure直接實測小米的資訊回傳狀況。由於並非空口說白話、且F-Secure算是有公信力的資安公司，小米也立刻道歉、澄清並且提交更新推送作為補救。我回顧一下，IThome透過F-Secure等資安公司測試，發現的幾個紅米機問題所在：

 

一、只要插入Sim卡並且連上Wifi，手機就會立刻回傳IMEI碼以及該張Sim卡的電話號碼回北京。

 

二、測試簡訊收發的時候，簡訊接收方的電話號碼，也會回傳到北京。

 

三、戴夫寇爾側錄紅米機，回傳應用程式清單。

 

小米資訊道歉後，坦誠紅米確實會自動開啟網路簡訊功能回傳使用者手機號碼回北京，並且推送更新了這個問題。（後續有香港媒體繼續追打，用軟體測試紅米機在更新後依然會連線到北京；但是由於只能看到有封包在動，並不能代表什麼，這裡就不贅述了。）

 

 

▲IThome找來F-Secure檢查小米的連線狀況。（圖／截圖自IThome）

 

很多人罵小米罵翻了，認為這是阿共仔的陰謀啊、對於隱私的保護不周啊、誰還敢用小米手機就是腦袋有洞等等。但是撇除「北京陰謀論」，我還是認為資安問題不該只針對中國，幾個概念澄清一下：

 

一、小米是中國大陸的公司，所以任何服務將會連線到北京的伺服器，是理所當然的。並不能說「只要連線到北京就是陰謀」，這實在太過火：尤其大多數人根本不知道究竟連線了什麼東西，就在那邊下結論。

 

二、今天無論你使用的是Android還是Apple，只要你使用他們家的系統與服務，也是要連線到Google的伺服器、Apple的伺服器。你不連線，他們怎麼提供服務給你？

 

三、傳送電話號碼、應用程式資訊到伺服器上，是很恐怖的事嗎？今天只要你使用雲端電話簿（Google、iCloud、QQ、360網盤都有這些功能），你的通訊錄自然會傳輸到美國、中國或任何地方的伺服器上；如果你有使用Facebook Messenger，預設也會將你的電話號碼提供給臉書。這些都是「個資」啊！

 

此外，像Android也有應用程式雲端備份功能；Google Play更不用說，連你已經移除的應用程式清單也會留存下來（這個我個人覺得很方便呢）。這個被傳輸到服務端的伺服器上，很恐怖嗎？我不覺得。

 

四、當你想在網路上買東西，可能會使用到Google Wallet、Apple APP Store、支付寶、PayPal，這些東西都會用到信用卡，而這些資訊也會儲存在對方的伺服器上；這樣子，下次只要輸入賬號密碼，它就能直接幫你刷卡。這些服務，也都會提供「個資」到網路上啊！

 

五、今天小米手機賣的就是MIUI、他們賣的東西除了硬體，就是他們自家的小米生態體系，強迫你使用，所以很多資料會傳到北京，理所當然；就像蘋果強迫你使用他家的APP Store來下載、購買軟體，綁定iCloud帳號，一樣的道理。沒道理同樣是個資，傳送到美國就是服務，傳送到中國就是洩密、就是腦殘，連用個電子產品都要搞CCR是有沒有這麼誇張。

 

 

▲小米機真的比較危險？別家就安全？未必。（圖／小米）

 

我今天不是為了幫中國軟體漂白什麼，而是認為這一切必須公平看待。如果什麼都要搞陰謀論，你使用的鍵盤Made in China，是不是就可能藏有鍵盤側錄程式？什麼，你的鍵盤這麼便宜只要99塊，不可能有？別忘了，很多人認為中國為了統一台灣，什麼事都幹得出來呢，就算是虧錢也要給台灣人洗腦、也要滲透台灣不是。

 

如果要這麼陰謀論，那你只能光溜溜的出去逛街了；除非你能保證你身上的衣服不是Made in China、沒有DNA監控系統，你的手機配件與原料沒有任何一項來自中國，你看的電視通通日本進口包括原料。

 

基本上，只要你連上網，就沒有個資可言。連微軟、Google都承認會監控使用者的信件、雲端檔案，儘管他們聲稱是為了避免兒童情色問題擴散，但是誰知道呢。

 

我不否認許多大陸軟件都有埋藏木馬，我從386時代開始用電腦，別人還在586的時候就模仿別人做了第一個色情網站。當時的中國網站、軟件比現在危險太多！中毒無數次、試毒無數次，搞壞無數電腦（當然也包括超頻超掛）。我相信我被中國軟件「搞」的次數，比很多人吃過的飯還多，但我還是秉持著「好用，就繼續用」的原則在生存。

 

---

我的網路使用建議如下：

害怕？找尋有保護功能的韌體

 

那麼害怕中國軟件的人，請先Root機，刷入第三方內核與 ROM，尋找4.4.2以上且可以控制所有軟體權限開關的第三方韌體。

 

關閉不必要的權限

 

將你認為不必要的權限通通強制關閉。事實上，不只是中國軟件，臉書許多權限也被我選擇關閉；這是很多 Android APP 的壞習慣，要求一堆不需要的權限，甚至是直接影響資安的權限，務必小心。

 

了解你在做的事情

 

有使用超級使用者的人，請確定明白你授權的是什麼玩意兒。

 

網路是開放的，一定有風險存在

 

使用雲端時，無論谷歌、Dropbox、360 雲盤、騰訊微雲，都是不安全的。今天大家攻擊中國的軟件的問題，其實都是放諸四海皆准。在網路上，不要存有資安風險的資料。這是使用習慣的問題。其實最危險的軟件叫做 Foxy，我曾經利用Foxy得到到上千筆別人的遊戲、谷歌、雅虎賬號密碼，甚至中華電信的網站賬號密碼。網路從來就不是一個適合存放秘密、分享機密的地方。

 

歐美資料被盜取狀況比中國嚴重

 

無論你使不使用中國軟件，信用卡資訊被盜的機會都是一樣的；就我的了解，歐美的駭客盜取信用卡資料的情況遠比中國嚴重。（中國的病毒比較多是綁架以及煩人的廣告）使用西方色情網站、博弈網站、破解軟件時，才真的要特別小心。 久了你會發現，那些駭客盜亦有道。

 

做好信用卡防護措施，發現盜刷第一時間立即通報處理

 

請幫你的信用卡申請「所有刷卡的簡訊通知」，任何實體、虛擬刷卡，都會第一時間簡訊通知你。這樣將能夠大幅下降災害的嚴重性，一旦發現可疑的刷卡（很多時候是連續多筆小額刷卡），立刻打電話給信用卡公司停卡。這時候，你往往不必負擔什麼損失。

 

證件不曝光、密碼定時換

 

個資部份，身份證字號、姓名、生日、電話、住址，其實都已經是非常容易曝光的資訊；這些你以為的「機密」，可能早就被某些論壇賣掉了。（早期許多論壇要個資都要得很凶）真正比較重要的是，身份證影本、正本掃描，證件掃描不能曝光，常用密碼要定時更換。

 

我被中國軟件、歐美軟件都陷害過無數次，根據我的自身觀察，無論是山寨網站還是大網站，中國的進步情況（誇張的廣告、病毒）遠比西方要好，就連下載軟件的網站，中國的「安全率」都比西洋的高很多。

 

我從來就不認為中國軟件是安全的，反之，我知道它們一點也不安全；但是相同的，我也並不覺得西洋的軟件有更安全、更保護隱私。所以我公平看待二者，無論那邊的產品，UI 好、UX 優良，效能佳，我就用；反之，就不用。更多時候，資安是你的使用方式比較重要，而不是依賴軟件本身。