近日台湾对政府内部是否禁华为电信网通设备与手机的议题讨论大发酵。土木工程学背景的行政院前院长张善政倡言:“手机要被植入恶意后门的管道是来自 App 软件,不是硬件”、“禁止采购中国电信设备:这是假议题,政治性宣示居多。”张与从前担任多家公司、机构专业经理人的杜紫宸在 Facebook 所发资安言论,引来电脑科学博士翟本乔、成大资通安全研究与教学中心主任李忠宪、知名电脑科学家陈盈豪为首的诸多资安专家与大量资讯工程师争论,展开一大堆论辩,到底孰是孰非,谁才有理呢?
这个议题其实横跨范围很大,从手机硬件到软件、手机跟基地台关系、Google Android 系统的不同层级、手机 EULA 同意书、中国国家法律规定对企业营运行为的影响、棱镜计划等都有,今日的资讯/通讯科技发展变革快速,且已细致分科化,如果未能时时更新知识,不要说一般人,就连资讯老人都会有很大的知识鸿沟,因此笔者整理本篇科普文,希望能帮助更多人理解这些相关资讯安全、乃至国家安全的重大议题。
首先最基本的思想逻辑,如何筛选谁说的比较有道理?当然是专家的话会比较有道理。那我们要看专家的头衔还是专业领域?当然是专业领域啰。另外,资讯科技与资讯安全是变动快速的科技领域,这个专门的实证领域没有人在比谁年纪大或官位大,只会“陆军棋”式官大学问大、倚老卖老逻辑的人,无法胜任日趋复杂的资安攻防,我们也无法信任如此思维人士的发言。
手机恶意后门的管道来自 App 软件,不是硬件?
关于“手机要被植入恶意后门的管道是来自 App 软件,不是硬件”,这句话是错的,20 年前的 1999 年已经证明──就在那年 CIH 病毒肆虐全球,它是第一个能感染 BIOS 等电脑硬件芯片的病毒。什么?硬件芯片出厂以后还可以再变更?这是第一个知识认知鸿沟,很多长辈与大众的认知其实停留在笔者撰写的前文《你所不知道的经典科技发展史:以前 CPU 如何设计出来的?》的时代。1980 年代以前,设计一款芯片真的要实体绕线,设计好做成晶圆后就不能再变更;但是现代有硬件描述语言 VHDL(虽是“语言”,但为电路设计范畴),可在电脑模拟环境设计芯片,然后烧录在 FPGA(可程式化的积体电路)上,就能“打造”一个新芯片来了,而这种 FPGA 芯片日后还可以更新。这类特殊硬件,我们称为“固件”,现代许多硬件芯片除了不可变更的部分,几乎都含有这种固件单元,使芯片出厂后还能更新、修正,现代 3C 产品底层硬件芯片几乎都还有可程式化部分。
更进一步,跟长辈以前认知的 6502、80286 时代 CPU 很不一样,现在手机 CPU 芯片都是 SoC(System on Chip),一个芯片其实相当于 1980 年代一整台个人电脑,也就是说一个 SoC 里面又“安装”数个芯片,例如一个 SoC CPU 里面有好几颗 CPU(所谓的多核心 CPU)、GPU 等,当然也包含固件,固件里面可能有不同于手机操作系统的另外一个迷你系统,手机操作系统不见得“看得到它”的存在,就算看得到也不一定可控制。
说回来,Android 手机的后门可能在哪里呢?这成分 3 个层次:
- 应用软件层:也就是所谓的 App,例如中国通讯软件微信、360 系列软件等 App 有后门泄漏隐私问题。如果是这类软件可装可不装,那倒还好,有 App 市集──Google Play 的安全把关,不要自己安装不明来源软件,这是使用者可自主管理的;但如果手机买来,手机系统已强迫预装特定有疑虑的 App 而你不能移除,那么那个 App 软件的后门自然就一直开着。
- 操作系统层:Android 系统是开放式平台,包含 Linux 核心及上层 framework,各手机厂商可客制化,如果有刻意的手机厂商直接修改 Android 系统底层的 Linux 核心,这会是很大的后门,你使用应用层的 App 检测软件也不一定检测得出来,这在中国手机品牌常常发生。
- 硬件层:如同前面所提,直接实做在芯片的后门,它可能就是埋在 SoC 里的小系统,也许还有自己的网页服务器,这是操作系统或 App 都无法触及的领域
也就是说,应用软件层使用者还可自主管理多加留意,但操作系统层、硬件层两者就没办法了,毕竟手机本身要搞鬼的话,外面难以测出来。
不是有 NCC、工业局检测吗?
经济部工业局指导的资安检测联盟只有在测试 App 的弱点检测资安,但是他们没有检测恶意机制跟相关系统的弱点问题;NCC 有检测手机硬件安全性,但只能在手机送检时,对收到的手机硬件做基本弱点检测,送检完成后,就不是 NCC 的范围了,恶质厂商送检完后,把上市版手机改刷新固件,更新成有后门问题的Android 系统,你也无从得知。
那可能有人会问,要求 NCC 或工业局要对手机做最严格的检测呢?套用 CIH 陈盈豪先生 1 月 30 日张善政的访谈直播提到的:“你把一根针丢到海里,要白帽骇客去检验出针在哪里,没有人找得到,成本高到没办法预估。”除非恶质手机/网通设备公司技术不足,埋的后门很容易被看出,但因无法预期对方的能力高低,所以需要更高成本检验后门。例如一家恶质公司花一年时间找一堆人做了一个无懈可击的后门,就算政府委托 CIH 陈盈豪,他也可能需要 1 千个人力给 1 千年才保证检测得出来。
你的手机真的是你的手机吗?
所以购买手机时应要慎选可信赖的手机厂牌,可是真的会有恶质的手机制造商吗?为什么大家质疑的清一色是华为、中兴、小米等中国公司呢?因为中国《国家情报法》中第七、十、十四条等,要求中国任何组织、人,在国外要配合政府以必要的方式手段、管道协助国家的机密工作。在民主国家,任何公司做生意以自身商业利益为最高指导;然而中国的企业不能当成一般公司看待,而是以政治服务(无产阶级专政)为最高指导,只要政府需要,就必须配合国家要求进行间谍活动,这就是让人非常担心的地方。
▲ 中国国家情报法相关内文。
有人会说“中国华为、小米、中兴等手机/物联网装置等产品内建后门有什么关系?美国不是也有棱镜计划,这是列强互相争斗,天下乌鸦一般黑啦!”其实两者差异很大,所谓的棱镜计划(PRISM)的确有争议,是美国国家安全局(缩写 NSA )的监听计划,为了美国国家安全,希望监听所有有嫌疑的美国人与跟他们有联络的外国人通讯,而要求微软、Google、雅虎等厂商的机房服务器及通过的光纤通道“开洞”,让 NSA 可拦截封包来“研究”,这是从后端监听的做法。
这涉及现代密码学的范畴,2014 年以前,网页传输大多数仍使用不加密以明码传输的 http,有意识用加密 https 协定的还算有限,例如说信用卡刷卡等,美国国安局拦截到封包时,明码传输当然就看光光了。
然而经过 https 加密的密文,就算是国安局,仍要耗日费时加以破解。奥巴马任内棱镜计划爆料出来后,Google 等公司就把所有网络服务都升级成 https 加密通讯,加强保护使用者隐私。虽然如此,即便搜集几百万美国人的通讯纪录踩在道德边缘,但棱镜计划仍是美国国会签署过的监听计划,在三权分立下被监督著,且追踪的是美国国内有国安威胁的人,该丑闻反映的是情报单位的资讯焦虑过度,被本国公民批评后,国安局不能再恣意做超过限度的事。如果今天你真的很担心隐私被美国国安局监控,只要手机或电脑任何通讯都使用加密甚至强加密,就算是美国国安局,也需要很大的成本才解得开。
前述是你的手机是否可信赖,甚至你的手机品牌是否坚持不向政府低头(例如苹果坚持不帮 FBI 解密枪击案嫌犯的 iPhone),但如果“你的手机不是你的手机”呢?中国企业产品就是如此,所谓“道高一尺,魔高一丈”,中国企业依法“为国家服务”,企业生产的手机、物联网产品、基地台与电信机房的网通设备产品,在系统层甚至是硬件层加上后门时有所闻。换句话说,你用软件加密有用吗?你的手机其实不是你自己的,而是一个密告者,你的讯息未经软件加密前,硬件已偷偷把未加密讯息明码传出,这可说是釜底抽薪的“作弊”法。例如去年中国很严重的退伍老兵维权事件,很多老兵透过手机发微信联络,然而搭公车到半路,就莫名其妙被公安、城管拦截,这表示手机一直有暗自发送定位资讯及明码讯息,他们的手机其实是中国政府的“间谍装置”。
各公司不是都在回传资料?No,有 EULA 限制
最早在 2014 年时,芬兰资安公司 F-Secure 发现,小米手机只要插入 SIM 卡连接网络后,就会自动启动“网络简讯”功能,未知会使用者的状况下,暗自将使用者手机号码、手机序号(IMEI)、国际行动用户辨识码(IMSI)等传送至北京服务器;如果使用者向他人传送简讯或打电话,对方的手机号码、IMEI,甚至简讯内容也都被传送到北京的同一台服务器,这是很故意的个人隐私外泄。
或许有人说:“啊,美国 Google、苹果、Facebook 还不是有在回传资料?”不一样的是,正派经营的公司产品使用前,必须读过“终端使用者授权协议书”(英语:End-User License Agreements,点下同意才开始产品服务,里面会透明化地提到──为了服务改进需求,会回传一些资料回公司服务器,但是不会进行 EULA 范围外的事项。举例来说,Google 地图会匿名收集交通流量数据,是有经 EULA 同意的,使用者如果不同意,可紧缩回传的资料,或是关掉定位,你有选择关闭的自由。
以前苹果等发生云端资安的问题时,被骇客攻破,导致资料外泄,这是失误,还要负起法律责任赔偿顾客损失;然而中国企业在这些方面的作为不透明,制造的装置配合政府无孔不入监控人民一言一行,卖到国外的发现有进行间谍任务,这是恶意,而一个普通人民也没辄。
选购手机时(或任何家用网通产品),借用翟本乔先生的说法,最终是考量该制造公司的信用──制造公司的当地法律是否健全、该公司存在目的是真以商业利益为考量(不会故意犯法被处罚砸自己的脚),还是有其他目的?例如有强烈政治动机的公司,你就应该避开他们的产品。
网通设备与政府单位的资安议题呢?
这些争议的“原爆点”还是要回到张善政先生本身,张对在 Facebook Po 文被“打脸”后,1 月 30 日中午举办直播座谈会,邀请 CIH 与翟本乔(远端通讯)来讨论,整个过程聚焦在手机的安全。
但问题来了,为什么邀请这两位?
张 Facebook 的原文是用按赞的数量多寡来看“大家认为谁是专家”,而不是“谁是专家”。试问,一个人够不够专业,是看他被多少人按赞的人气吗?好比说如果在台湾,周杰伦获得的赞数比 John Williams(大白鲨、星际大战等知名经典电影配乐的作者)还多,难道 John Williams 比周杰伦不专业吗?这是评量是否专业的好“排序法”吗(Google 好像很讲究这个)?更进一步,当张 Facebook 发出这精美的图片、诚挚的文字邀约后,协寻政府资安长的原文回应中,陈盈豪(Facebook 账号 Chen Ing-hau)尖锐的留言就恰好从按赞最顶端消失了?纵使翟本乔与陈盈豪的确是优秀的电脑工程师,但这样的选拔法还有巧合也满奇妙的。
更有趣的是,张的直播节目说明提到“资安就是国安”,却把议题导向一般消费者使用手机的安全,咦?大家好像忘记了一件很重要的事情……原来这个议题的重点是什么?
这才是第一项喔,为什么呢?上周美国、英国、欧盟、日本等民主国家相继禁用中国华为的 4G、5G 电信设备后,各级政府、工研院等也表示跟进,而张予以批评,但在直播中,张却聚焦一般使用者的手机安全,而非资通设备安全,就像宣传节电要个人随手关灯,但却忽略工业厂房才是用电大户。
更进一步,关于张原始提到的第三项手机资安问题,其实最原始的议题是“工研院禁止员工使用华为品牌的手机与电脑连上内部网络”,直播座谈中却变成“一般人使用消费性手机的情境”。
这有什么问题?
各级政府与工研院内禁用华为手机、电脑产品,是要防御什么等级的骇客?显然不是普通等级的骇客,但是张主持节目的前提是:“如果骇客要攻击我们这个社会,他们会如何进行?那我们又有什么方法可以防御?资安就是国安,我们要如何保护自己的安全?我们不针对任何一个厂商,不针对任何一个国家”。这就好比 1940 年初的法国,有人开了一场国防安全研讨会,前提是:“如果有坏人要攻击我们社会,他们会如何进行?我们又有什么方法可以防御?我们要如何保护自己的安全?我们不针对任何一个个人,不针对任何一个国家。”却绝口不谈正磨刀霍霍向西欧的纳粹独裁者希特勒在做什么军事准备,这不是很奇怪?
对,一般骇客可能是爱现的屁孩或想勒索人发大财的专业骇客,但哪种等级的骇客有办法在手机卖到市场前就先在系统芯片、操作系统里埋后门?一般手机制造商会这样自毁商誉,不怕被国家法律制裁吗?是什么样的动机驱使其做这种事?不是国家政策性的鼓励或默许?那这样不是国家级骇客是什么?泛泛而论一般手机厂商会不会“为恶”,是不是每间都要加以防范,却不提像华为这样的高风险制造商(好像研究 1937 年世界各国会不会攻打法国,却不探讨最高风险的德国),毕竟华为公司各种系统性间谍行为正是当前国际最大的焦点,然而直播的议题却以“只讨论技术,不谈人,不谈政治”的理由被轻轻放下,最后话题带向怎么鼓励年轻人投入资安,然后大家觉得前院长抛砖引玉、礼贤下士,胸襟十分宽大,却没注意到张口口声声称呼对岸为“老大哥”,也没发现议题焦点被巧妙转移?
事实上,个人买什么自用手机,安装什么千奇百怪 App 都是个人自由,如果不怕手机用一用,有天信用卡、XXpay 被盗刷,或自己的行踪规律莫名被第三者掌握,那都是个人选择;然而影响个人事小,影响众人事大!所谓的国安问题,一直是指在公家机关的资讯流通与电信网络骨干设施的高资安要求,要避用已知有潜在高资安风险厂牌的网通设备,这也是反服贸时 49 位联名资讯通讯专家所担忧的点,如今华为事件更让人担忧。
以委内瑞拉为例,该国 20 年前转为社会主义国家,全盘接受中国的各种“善意”,从中南美洲人均 GDP 最高的国家,沦为今日民生凋敝,通货膨胀严重(去年通膨率高达 12,875%)的惨况。
这样糟糕的政权可以苦撑多年,为什么?因为马杜罗的政权依靠中兴制造的数位身份证“祖国卡”,搭配电信公司购进的中兴电信设备,全面性监控人民一言一行,甚至总统大选时表面上是持“祖国卡”匿名投票,实际上政府透过后门能分辨出谁投给马杜罗,就给予食物、药品奖励(也就是变相贿选)。像中兴、华为等这样配合中国输出极权统治工具/技术的公司,我们可以只讨论技术,不讨论是什么人、什么公司?想像如果是我们国家大力拥抱中兴、华为,钱出去,便宜货进来,然后是谁发大财?
中国对台湾资讯战的威胁是不可能避谈政治的。
最后笔者引李忠宪教授的话做结:“做地图炮的全面性攻击,你要有大规模毁灭性武器那样无限的资源,否则只是刻意为某些高风险的因素护航,混淆资源配置的方法,先要确定风险的来源,才有防御和达到资讯安全的可能。”
- How ZTE helps Venezuela create China-style social control
- What’s in the Rest of the Top-Secret NSA PowerPoint Deck?
- 小米招了,坦言偷传资料到北京,公开道歉并紧急更新手机系统
- 《新闻内幕》膨风Google经历 科技部长张善政 协理掰总监
- 手机出厂暗藏病毒吗?小米说话了
- 华为被控哪些“罪”,包含窃取商业机密的23项指控
(首图来源:pixabay)
延伸阅读:
- 工研院:清查内部并未使用华为通讯设备
- 华为迅速解雇在波兰因间谍罪被捕员工,引发欧盟更多关注
- 张善政:台湾是资安事件汇集点,应提高警觉
- 是否禁用华为手机,电信业:依政府规范
- 资策会再开第二枪,将禁止华为设备使用内网