[轉錄] 小心中國軟體，越夯就越看不見的資安隱憂

作者lamda (鋼琴加吉他)

看板PublicIssue

標題[轉錄] 小心中國軟體，越夯就越看不見的資安隱憂

時間Tue Aug 12 08:35:12 2014

心得：中國共產黨是一個追求功利物慾，完全不講道德的政黨 在這種心態孕育出來的中國資訊軟體， 發生裝設木馬後門竊聽個資的現象，可說一點也不意外。 結論就是，使用中國製通訊軟硬體時，請務必特別小心 from：http://www.ithome.com.tw/news/89996 最近一年來，臺灣吹了新一波中國產品潮，大陸公司積極以各式各樣的行銷手法，來搶攻 臺灣民眾的網路眼球和臺灣媒體鎂光燈。不論電視上、臉書、各大報紙，甚至是新聞節目 中都不時可以看到中國產品的蹤跡。 晚餐時間打開電視，就會看到WeChat（微信）訴諸宅男的裸女訊息廣告，或是瞄準上班族 不滿老闆的草泥馬影片。登入臉書，動態牆也不時會跳出知名藝人庾澄慶代言的奇虎360 資安產品推薦，以安心、好用、便利的訴求搶市場。或像是獵豹移動產品臺灣臉書專頁， 日日搭配可愛玩偶單格漫畫，鎖定熱門議題來炒熱粉絲團熱度。 而小米手機則以發燒潮品的包裝，在臺舉粉絲聚會、社群推廣、舉辦大規模上市活動等而 引起話題，甚至連虛報銷量遭罰消息，也引起各大新聞媒體報導，反而成了另一波行銷廣 告。 中國業者多位執行長也陸續到臺灣，以成功創業家之姿在臺塑造明星形象，不只行銷產品 也培養在臺的品牌信賴感。如獵豹移動執行長傅盛日前來臺時，就以搶人才、投資無上限 的話題，上了各大媒體版面，小米手機董事長雷軍也飛到臺灣坐鎮上市活動，以中國賈伯 斯稱號來臺與米粉見面，一舉一動都會受到米粉們競相討論拍照，彷彿是明星一般。 尤其是身分敏感的大陸資安產品進軍臺灣市場時，更是善用各種包裝手法來翻新形象，避 免和大陸產品的爭議形象串連。例如早一步來臺的大陸防毒軟體奇虎360不只以免費號召 ，更透過明星代言在電視廣告時段宣傳，並找來熟悉臺灣軟體市場的臺灣手機遊戲公司創 辦人負責臺灣業務。 而晚一步的獵豹移動，則是避用在大陸引起不少爭議的金山網絡名號，而改以美國上市公 司名義來臺，也找來老牌公關公司操刀，聘用本地媒體記者擔任公關，先以產品Clean Master為名的CM Security安全實驗室名義，趕搭簡訊病毒話題發布調查報告，只在報告 最後簡介中才簡單提及獵豹移動。獵豹移動也是打著永久免費服務，搭配社交網路媒體推 廣策略來臺搶市場，甚至還鎖定開發社群，例如贊助臺灣最大開源年會COSCUP，也提供 Wi-Fi產品試用來獲取開發社群的青睞。 但是，中國產品引發的資安爭議一直未曾停歇，今年更傳出多起中國製的裝置產品有問題 ，例如資安業者TrapX發現有一中國業者所製造的手持式產品掃描器含有惡意程式Zombie Zero，專門鎖定物流與運輸業者，除了會暗中將產品條碼資訊傳送到遠端伺服器外，還能 植入後門讓駭客竊取企業機密資訊。 德國安全業者G Data也發現了一款由中國手機業者天星（Star）公司生產的Android智慧 型手機Star N9500，出廠即內建了間諜程式，會暗中植入木馬來竊取個資、截聽電子郵件 和私人簡訊甚至遠端控制手機相機。 儘管問題產品不一定在臺灣上市，但是連當紅的小米手機也傳出爭議，使用者爆料小米手 機暗中回傳用戶資料到北京伺服器而遭質疑。中國出產的裝置仍存有不少資安疑慮。 不只裝置有爭議，大陸公司提供的服務也曾引發爭議，例如去年底，WeChat母公司騰訊遭 使用者質疑，側錄及蒐集了用戶的通訊內容來進行大資料分析而引發爭議。 因為中國政府為了管制網路言論而對所有網站、通訊相關服務都進行內容過濾，WeChat或 是獵豹移動、奇虎360旗下各式App產品的服務主機大多設置在中國，這些雲端服務、手機 App上的資料需回傳到中國的伺服器，合理可推論也會受到中國政府的監聽和過濾。 中國政府以強勢威權的治理方式，更讓各國對中國法治制度缺乏信心，像交通大學資訊工 程學系特聘教授林盈達就認為：「中國政府向中國企業索取使用者資料，沒有要不到的。 」 隨著中國產品鋪天蓋地進臺灣後，攻佔民眾手機、電腦，甚是企業辦公室內的平板、筆電 之後，中國政府更有機會能取得那些回傳到大陸伺服器上的臺灣使用者資料，甚至更容易 能透過各式裝置作為跳板進入企業IT環境，民眾家庭生活甚至是政府機構內網。 儘管中國不是唯一想要監控網際網路的國家，史諾登事件也證實了美國處心積慮地想要監 控全世界。但是，當中國對臺灣仍舊是保持政治敵意的態度，這些行銷手法、廣告包裝， 讓資安意識不若資安專家的一般民眾，輕忽了可能的風險，也更看不見可能的資安風險和 威脅。 註： 中國產品為了進軍臺灣市場，不只採取免費或低價策略，還找來明星代言，強力透過社交 網站行銷，甚至在電視強力放送廣告，試圖擺脫大陸產品的爭議形象，瓦解民眾的提防。 大陸產品近年資安爭議 2014年7月 中國製手持掃描器內含惡意程式，殃及多家物流業者 資安業者TrapX發現有一中國業者所製造的手持式產品掃描器含有惡意程式Zombie Zero， 被安裝在採用嵌入式平臺的手持掃描器中，除了可將產品訊息傳送到遠端伺服器外，也能 植入後門讓駭客存取企業的機密資訊。 TrapX懷疑這是一個由國家贊助的攻擊，鎖定的是物流與運輸產業。不過，TrapX並未揭露 該掃描器製造商的名稱，僅透露該製造商位於山東，該製造商亦否認知道產品中有惡意程 式的存在。 2014年7月 紅米Note手機暗中傳送資料至中國伺服器 日前傳出紅米Note手機會在背地裡傳送資料至中國伺服器，引發竊取資安疑慮。網路討論 區IMA Mobile，評策者Kenny Li發現紅米NOTE手機，會在沒有知會使用者的情況下，背地 傳送使用者的資料到中國，疑似對用戶進行「審核」及「遠端備份」，包括照片、瀏覽過 的網頁等。此外，Kenny Li發現，就算把小米內建軟體移除並重刷其他版本的軔體，傳送 情形也依然存在。 2014年7月 大陸影音串流App頻傳內建木馬程式 網路安全公司Nexusguard表示，多個大陸影音多媒體 App也被內建了木馬，如PPTV、PPS 影音、優酷視頻、風行視頻4個 Android 版的 App 均內建了「Android.Spy.origin.83」 的木馬程式，而許多駭客則可透過這支木馬來安裝更具破壞力的惡意程式。如Nexusguard 的專家只要 5 分鐘就可以侵入手機，開啟手機的照片，甚至還可以啟用相機與麥克風功 能，全程透過手機監看監聽。 2014年6月 德國發現大陸手機出廠就內建間諜程式 德國安全業者G Data發現，中國手機業者天星（Star）公司所生產的Android智慧型手機 Star N9500，出廠即內建了間諜程式。這隻程式會偷偷將使用者個人資料傳送到位於中國 的伺服器，並暗中再安裝另一項應用來竊取個資、截聽通訊及網路銀行資料、讀取電子郵 件和私人簡訊內容，或是遠端控制手機相機或麥克風。（照片提供／G Data） 2013年底 WeChat用戶對話內容遭監控與過濾 中國政府為了管制網路言論，要求大陸所有的網站都必須辦理電信與資訊業務許可證，而 且還要求所有社群、網站或是相關服務，都必須進行內容過濾。 像WeChat這類將服務主機設置在中國的即時通訊軟體當然也不例外。去年底，WeChat母公 司騰訊公司更遭質疑，暗中側錄及蒐集使用者的通訊內容來進行大資料分析而引發爭議。 更早之前，則有一位香港民運人士胡佳爆料，與友人在WeChat上的私人對話，遭中國保安 監控側錄，成為審問內容。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.39.30.132 ※ 文章網址: http://www.ptt.cc/bbs/PublicIssue/M.1407803715.A.3F1.html

推 chiamin116 : 載過微信，聽說就算不用了個資還是刪不掉Orz 08/12 09:07

推 spark0409 : 第一行 功利 追求功力是想練葵花寶典嗎XDDD 08/12 11:01

※ 編輯: lamda (114.39.30.132), 08/12/2014 11:10:30 → lamda : A錢也是有功力的...XD