圖片來源: 

張善政YouTube頻道

華為通訊產品引發了歐美各國的資安疑慮,許多國家予以封鎖、禁用,而我國政府也禁止公部門使用該廠牌設備,又再接著祭出不許公務電腦連線到中國社群網站等命令,針對這樣的現象,許多IT界人士紛紛在網路上發表看法--有些人認為政府管太多,而不少人則是認為,面臨兩岸政治與資安情勢惡化,千萬不能掉以輕心。前行政院長張善政便邀集和沛科技創辦人翟本喬和網友陳盈豪(CIH)兩人,於1月30日12時30分在臉書與YouTube平臺直播,從技術層面探討手機的資訊安全。

張善政日前曾在臉書上指出,工研院禁用華為手機的規定方向有誤,他認為手機要被植入後門的管道是來自App,而非硬體,因此認為該單位沒有必要採取上述規範,導致引發網友批評,張善政的論點太過粗糙。為此,張善政於29日又在臉書上表示,他擔任過政府的資安高層,是從系統建置的角度著手,但因為沒有參與攻防實戰經驗,坦言自己對於資安實務認知上的不足,他想要尋求真正的專家,今天的直播便是第一步。

雖然之前在臉書上發文時,張善政與翟本喬、陳盈豪兩人的看法不同,但這次的直播主題,張善政強調撇除政治考量,就以駭客攻擊技術的層面,向翟本喬和陳盈豪請教有關手機背後存在的資安問題,整個直播的過程相當平和。由於探討到供應鏈的攻擊手法,超過一半的時間,都是由參與過手機Android作業系統修改經驗的陳盈豪說明;而翟本喬則多半附和陳盈豪的看法,予以補充,並且針對之前自己發文論點,進行討論。

手機軟硬體都可能成為遭到攻擊的弱點

直播一開始,張善政就切入主題詢問陳盈豪,手機廠商是否真能從作業系統下手,發動攻擊。陳盈豪以曾任職於技嘉公司,為該公司生產的手機修改Android作業系統的經驗指出,雖然,手機廠商最佳化該系統之後,修改後的版本,必須通過Google的CTS(Compatibility Test Suite)認證,以確保與Google Play市集裡App的相容性,但不代表修改後的作業系統安全無虞,甚至是手機廠商真的有心想要進一步發動攻擊,這種可能性也確實存在,而且外界還很難以察覺異狀,即使是前述的Google驗證措施,也無法找出這種潛在問題。

翟本喬也接著說,他的公司曾經從事Android作業系統修改,客戶往往會質疑,都更動到了作業系統底層,能否確保裝置的安全性呢?翟本喬表示,包含他們在內的手機製造商,後來為了取得客戶的信任,許多業者選擇保留Google原本的作業系統程式碼,不再更動其中的內容,並且以另外加入自己開發的App,做為客製化替代的方針。

不過,手機廠商就算不修改作業系統,但硬體和韌體等其餘部分,仍是廠商自己所掌握,因此,陳盈豪說,若是從這些方面著手,即使原封不動採用未修改的Android軟體,廠商還是能其他部分下手。陳盈豪認為,這就像電影駭客任務,因為在廠商掌控一切的手機上,所有的驗證程式形同在廠商虛擬的假世界,若是業者動了手腳,檢測軟體將難以發現,所以,許多資安專家執行相關檢測時,會一併檢查連線到外部的網路流量。

若是有心人士從手機韌體下手,陳盈豪說,為了避免寫入到裝置的韌體,在各種可能的情況下遭到解讀,導致自己的意圖被發現,他們會將程式碼再做額外的處理。

基本上,手機業者掌握了大部分的軟硬體,因此陳盈豪認為,廠商若要從中加入惡意內容,我們難以透過現有的檢測方式發現。這也是先前在臉書上,他批評張善政的原因。

翟本喬另外補充,從硬體層面的攻擊手法,還包含了搭配Wi-Fi無線基地臺等網路設備的方式,若是手機與網路設備都是由相同廠商提供,該業者還可以利用網路設備竊取手機的資料,再暗中傳送到特定的駭客接收端,由於從硬體和韌體事先串連,這樣的做法便不易被發現。因此,翟本喬認為,使用者在採購上,最好能採用不同廠牌的行動裝置和網路設備,甚至應該要選擇敵對國家推出的產品。

除了從手機製造的供應鏈下手,針對作業系統本身的弱點,駭客還是可以發動攻擊。陳盈豪說,Android手機上玩家所謂的Root,就是一種利用系統的漏洞,進而取得最高存取權限的方式,同樣的原理,也適用於駭客發動攻擊上,若是駭客取得相關權限後,就能以合法行為掩蓋非法,例如,駭客可由Gmail的封包,洩露使用者手機上的內容,他強調,上述濫用漏洞手法,由於利用的是正常流量,還難以追查其來源IP位址。

挑選品牌成消費者自保之道

根據上述的情勢,陳盈豪表示,使用者要自保,就需要檢查應用程式要求的權限,是否為合理存取範圍,但他也認為,一般使用者通常會儘快完成App的安裝,不太會判斷那些是不需要授權的要求,因此,陳盈豪說,另外一個管道,就是購買自己信任廠商的手機。

翟本喬也認同這樣的看法,並認為使用者相當仰賴廠商的自律,因此從行動裝置的廠牌挑選,就相當重要。他之前在臉書上就曾提過,廠商自律是商業考量,而非技術層面的問題,固然,技術到位的產品,消費者才願意買單,但是,手機廠商若想要從製造的供應鏈下手,消費者根本無從防範。翟本喬說,消費者挑選的考量,包含手機廠商所在的國家法律是否健全,能夠在發現問題時,保護消費者的權益;另一方面,則是業者營運的目的為何,若是單純在商言商,為了獲利,便不會拿石頭砸自己的腳,破壞自己的聲譽,比較不會在製造過程中動手腳。

他也舉出了Google的名言Don't Be Evil,認為這是一個高明的商業手法,這句話背後的含義,就是因為廠商不做壞事,所以能得到客戶的信任,客戶願意採用該公司的產品。翟本喬說,並非Google高風亮節,而是因為遵從這樣的宗旨,他們才能永續經營。

翟本喬進一步指出,基本上,有些廠商為了取信客戶,甚至會讓客戶檢查原始碼,這包含程式碼、編譯工具、電路圖、製程等等,而且必須由客戶重新編譯後,得到相同的結果,才能完全證明製造商的清白;也有些業者會將上述的資料和工具,交由第三方單位封存,以便日後驗證之用。

但檢驗原始碼的做法,難度其實相當高。張善政也舉出過去中國大量採購國外資訊設備時,以資安考量為由,要求業者提供原始碼,而我國也順勢要求微軟提出相關內容。雖然我國最終取得了微軟的原始碼,然而可惜的是,這些好不容易獲得的資料,沒有加以運用。因此,張善政也相當認同前述挑選手機廠牌自保的論點,縱使廠商拿出相關原始碼,但大部分消費者難以進行檢驗,還是只能從廠商的聲譽挑選。


Advertisement

更多 iThome相關內容