對於華為與中國製手機存在資安風險,在網路上引起論戰。有人在臉書貼文「不只大陸手機會回傳,任何手機與電腦都會」。對此,BBS批踢踢創始站長、台灣AI實驗室創始人杜奕瑾,31日回應表示,台灣傳播自由、資訊取得容易,但是台灣人卻對自身資安意識普遍缺乏,還不斷地替人背書宣導錯誤觀念,是一個很奇特的奴才現象。他認為,台灣主管單位應制定法律管制,避免這類錯誤資訊流竄。
軟體工程師杜奕瑾就讀台大資工系時,為免除校方對言論的限制自行架設以自己網路代號PTT為名的BBS站,並成立研究社推廣BBS與自由軟體。杜曾任是微軟公司人工智慧(AI)部門亞太區研究總監,同時也是臺灣AI實驗室創始人。
杜奕瑾引述,百度創辦人李彥宏與創新工場董事長李開復都曾提過,「中國人不重視隱私」,企業為得到資訊會「不擇手段」,尤其「中國商品特別沒底線,因為國情不同」。他說,中國「這種形式作風,在重視隱私的自由市場無法被接受」,而中國人也不見得支持,但他們沒有選擇。
中國各式手機助手 有資安疑慮
杜奕瑾說,台灣沒有自己的手機軟體產業,資安意識薄弱,進而中國安卓系統手機盛行,而中國爆出多款流氓軟體,中國各式手機助手幫中國Android手機開後門,任何人都可以連上這些裝置,無需密碼的使用管理員權限,進行遠端存取控制,安靜無聲的安裝惡意程式也沒問題,犧牲的是不知情的用戶。
杜奕瑾表示,「你完全不需要把資料傳到中國,別人就可以遠端的植入後門。把你手機鏡頭打開看你,看GPS你的位置在哪裡;順便打開麥克風錄一下聲音,看一下跟誰說話;手機的信箱簡訊有什麼郵件商業機密,之後有什麼行程;打開備忘錄看看你有什麼密碼,你有什麼銀行帳號,用手機郵箱重設銀行密碼;順便看看照片,你的男女朋友長得怎麼樣,有沒有什麼私密照片,下載之後可以用來威脅你。」
很多人覺得資訊外露沒關係,反正自己沒錢,也沒有祕密可竊。杜奕瑾說,這種觀念是錯誤的,這不只是個人的事,也牽涉公司營業秘密。因為那些後門可以拿你的手機與密碼當成可信任載體,用公司內網連結到公司,下載資料到手機,把關鍵重要資料備份好,一旦有竊密者相信的網路wifi連結,再偷偷傳輸回去。
「這一切都不是幻想!」許多商業間諜調查報告都已有紀錄,因此,諸如台積電等大型公司,是不准員工帶手機進辦公室的。
但是仍有很多不懂裝懂的人,為中國手機開後門脫罪,杜奕瑾舉例,如果供應商要協助竊密,只要送商家Root過的手機當員工尾牙贈品,再配合不知名駭客遠端攻擊取得機密資料,就算被抓到,手機商與供應商在法院仍可裝無辜,這就是「耳熟能詳的後門(清純臉),何錯之有?」
他提到,去年台灣主流媒體集體「消失了」一個很重要的新聞,「美國司法部調查起訴中國(共)政府資助駭客組織APT10,利用網路資安後門竊取資訊,包含美國海軍已超過12國、45個科技公司與政府組織受害,多個國家出面譴責」,後續發現,APT10幕後身分與天津中國國家安全局有關。
杜奕瑾說,台灣人忽略這個新聞,還以為封殺華為事件,是歐美日澳等十幾個國家聯合欺負特定公司,防止他走向5G霸權。其實,只要觀察報導下架現象,就可知道,「台灣主流媒體哪些是違反新聞倫理,一昧『唱紅打美』」。
台灣人缺資安意識 成奇特現象
他引述新聞報導指出,在歐洲「華為證實主管涉間諜罪」,而美國聯邦法庭把華為起訴,其中有提到:「根據 FBI 取得的華為內部電子郵件顯示,2013年7 月開始,華為根據員工從世界各地其他公司竊取的機密資訊價值,向員工發放獎金。」
杜奕瑾提醒,「千萬不要小看你手上小小的一隻手機,這可能就是扳倒大象的關鍵螞蟻」。在台灣身在重視隱私的自由之地,上網可以自由地接觸到各類的消息,卻仍自身資安意識普遍缺乏,還不斷地替人背書宣導錯誤觀念,是一個很奇特的奴才現象。◇