手機資安危機論戰，張善政找網友開直播

華為通訊產品引發了歐美各國的資安疑慮，許多國家予以封鎖、禁用，而我國政府也禁止公部門使用該廠牌設備，又再接著祭出不許公務電腦連線到中國社群網站等命令，針對這樣的現象，許多IT界人士紛紛在網路上發表看法－－有些人認為政府管太多，而不少人則是認為，面臨兩岸政治與資安情勢惡化，千萬不能掉以輕心。前行政院長張善政便邀集和沛科技創辦人翟本喬和網友陳盈豪（CIH）兩人，於1月30日12時30分在臉書與YouTube平臺直播，從技術層面探討手機的資訊安全。

張善政日前曾在臉書上指出，工研院禁用華為手機的規定方向有誤，他認為手機要被植入後門的管道是來自App，而非硬體，因此認為該單位沒有必要採取上述規範，導致引發網友批評，張善政的論點太過粗糙。為此，張善政於29日又在臉書上表示，他擔任過政府的資安高層，是從系統建置的角度著手，但因為沒有參與攻防實戰經驗，坦言自己對於資安實務認知上的不足，他想要尋求真正的專家，今天的直播便是第一步。

雖然之前在臉書上發文時，張善政與翟本喬、陳盈豪兩人的看法不同，但這次的直播主題，張善政強調撇除政治考量，就以駭客攻擊技術的層面，向翟本喬和陳盈豪請教有關手機背後存在的資安問題，整個直播的過程相當平和。由於探討到供應鏈的攻擊手法，超過一半的時間，都是由參與過手機Android作業系統修改經驗的陳盈豪說明；而翟本喬則多半附和陳盈豪的看法，予以補充，並且針對之前自己發文論點，進行討論。

手機軟硬體都可能成為遭到攻擊的弱點

直播一開始，張善政就切入主題詢問陳盈豪，手機廠商是否真能從作業系統下手，發動攻擊。陳盈豪以曾任職於技嘉公司，為該公司生產的手機修改Android作業系統的經驗指出，雖然，手機廠商最佳化該系統之後，修改後的版本，必須通過Google的CTS（Compatibility Test Suite）認證，以確保與Google Play市集裡App的相容性，但不代表修改後的作業系統安全無虞，甚至是手機廠商真的有心想要進一步發動攻擊，這種可能性也確實存在，而且外界還很難以察覺異狀，即使是前述的Google驗證措施，也無法找出這種潛在問題。

翟本喬也接著說，他的公司曾經從事Android作業系統修改，客戶往往會質疑，都更動到了作業系統底層，能否確保裝置的安全性呢？翟本喬表示，包含他們在內的手機製造商，後來為了取得客戶的信任，許多業者選擇保留Google原本的作業系統程式碼，不再更動其中的內容，並且以另外加入自己開發的App，做為客製化替代的方針。

不過，手機廠商就算不修改作業系統，但硬體和韌體等其餘部分，仍是廠商自己所掌握，因此，陳盈豪說，若是從這些方面著手，即使原封不動採用未修改的Android軟體，廠商還是能其他部分下手。陳盈豪認為，這就像電影駭客任務，因為在廠商掌控一切的手機上，所有的驗證程式形同在廠商虛擬的假世界，若是業者動了手腳，檢測軟體將難以發現，所以，許多資安專家執行相關檢測時，會一併檢查連線到外部的網路流量。

若是有心人士從手機韌體下手，陳盈豪說，為了避免寫入到裝置的韌體，在各種可能的情況下遭到解讀，導致自己的意圖被發現，他們會將程式碼再做額外的處理。

基本上，手機業者掌握了大部分的軟硬體，因此陳盈豪認為，廠商若要從中加入惡意內容，我們難以透過現有的檢測方式發現。這也是先前在臉書上，他批評張善政的原因。

翟本喬另外補充，從硬體層面的攻擊手法，還包含了搭配Wi-Fi無線基地臺等網路設備的方式，若是手機與網路設備都是由相同廠商提供，該業者還可以利用網路設備竊取手機的資料，再暗中傳送到特定的駭客接收端，由於從硬體和韌體事先串連，這樣的做法便不易被發現。因此，翟本喬認為，使用者在採購上，最好能採用不同廠牌的行動裝置和網路設備，甚至應該要選擇敵對國家推出的產品。

除了從手機製造的供應鏈下手，針對作業系統本身的弱點，駭客還是可以發動攻擊。陳盈豪說，Android手機上玩家所謂的Root，就是一種利用系統的漏洞，進而取得最高存取權限的方式，同樣的原理，也適用於駭客發動攻擊上，若是駭客取得相關權限後，就能以合法行為掩蓋非法，例如，駭客可由Gmail的封包，洩露使用者手機上的內容，他強調，上述濫用漏洞手法，由於利用的是正常流量，還難以追查其來源IP位址。

挑選品牌成消費者自保之道

根據上述的情勢，陳盈豪表示，使用者要自保，就需要檢查應用程式要求的權限，是否為合理存取範圍，但他也認為，一般使用者通常會儘快完成App的安裝，不太會判斷那些是不需要授權的要求，因此，陳盈豪說，另外一個管道，就是購買自己信任廠商的手機。

翟本喬也認同這樣的看法，並認為使用者相當仰賴廠商的自律，因此從行動裝置的廠牌挑選，就相當重要。他之前在臉書上就曾提過，廠商自律是商業考量，而非技術層面的問題，固然，技術到位的產品，消費者才願意買單，但是，手機廠商若想要從製造的供應鏈下手，消費者根本無從防範。翟本喬說，消費者挑選的考量，包含手機廠商所在的國家法律是否健全，能夠在發現問題時，保護消費者的權益；另一方面，則是業者營運的目的為何，若是單純在商言商，為了獲利，便不會拿石頭砸自己的腳，破壞自己的聲譽，比較不會在製造過程中動手腳。

他也舉出了Google的名言Don't Be Evil，認為這是一個高明的商業手法，這句話背後的含義，就是因為廠商不做壞事，所以能得到客戶的信任，客戶願意採用該公司的產品。翟本喬說，並非Google高風亮節，而是因為遵從這樣的宗旨，他們才能永續經營。

翟本喬進一步指出，基本上，有些廠商為了取信客戶，甚至會讓客戶檢查原始碼，這包含程式碼、編譯工具、電路圖、製程等等，而且必須由客戶重新編譯後，得到相同的結果，才能完全證明製造商的清白；也有些業者會將上述的資料和工具，交由第三方單位封存，以便日後驗證之用。

但檢驗原始碼的做法，難度其實相當高。張善政也舉出過去中國大量採購國外資訊設備時，以資安考量為由，要求業者提供原始碼，而我國也順勢要求微軟提出相關內容。雖然我國最終取得了微軟的原始碼，然而可惜的是，這些好不容易獲得的資料，沒有加以運用。因此，張善政也相當認同前述挑選手機廠牌自保的論點，縱使廠商拿出相關原始碼，但大部分消費者難以進行檢驗，還是只能從廠商的聲譽挑選。