0

4
0

文字

分享

0
4
0

行政院資通會報技術服務中心 「行動裝置資通安全注意事項」 的謊言剖析

洪朝貴
・2013/10/01 ・3052字 ・閱讀時間約 6 分鐘 ・SR值 526 ・七年級
惡魔帶領著順服的羊

收到學校電算中心代為轉達的一份文件 「行動裝置資通安全注意事項」, 說是要提供防護建議, 但裡面吹捧蘋果電腦的產品, 甚至直接拿蘋果產品特有的 (有利政府監控) 功能來當做判斷優劣的標準, 完全罔顧蘋果電腦與美國多個情治單位長久曖昧的疑慮, 以及近日美國國安局 NSA 的監聽醜聞。 用戶如果聽從行政院這份建議, 很可能反而將陷入遭受美國 (最好祈禱只有美國) 政府監聽的險境。 搜尋了一下, 原始文件來自 行政院資通會報技術服務中心 (請在該頁搜尋 「行動裝置資通安全注意事項」 連結)。 以下指出該文件的一些 (看來是刻意誤導的) 嚴重錯誤。

請儘可能確保軟體來自於合法的官方軟體商店(如 App Store、Google Play), 切勿從無法驗證其可靠性之來源下載安裝軟體, 以避免安裝已遭植入非正當意圖之軟體, 導致行動裝置資料遭竊、 或被安裝後門程式及對行動裝置產生損害之風險。

驗證可靠性的終極方式, 不是問來源, 而是看原始碼。 經過 「Windows 被 NSA 安置後門」 「OpenBSD 被懷疑遭置後門」 (結果查看原始碼, 證實並沒有) 以及 「公鑰夾帶部分私鑰的密碼破解術」 等等多起事證之後, 相信有越來越多人覺醒, 體認到: 看得見原始碼的自由軟體是資訊安全的必要條件 (但並不是充份條件)。 當然, 大多數時候, 就連貴哥也沒空沒力氣查看原始碼。 所以退而求其次, 我個人選擇相信 「原始碼公開」 的軟體庫來源, 例如 西藏人為了保命而開發的 f-droid

iOS 用戶在註冊登錄 Apple ID 帳號後,均可綁定屬於自己的 Apple 行動裝置, 可使用 Find My iPhone 軟體進行行動裝置追蹤與遠端資料刪除, 但行動裝置須與網際網路連線的情況下;Android 則無預設的官方行動裝置追蹤保護功能, 須透過安裝額外軟體達成。

[10/3 根據讀者假面智更正] Apple ID 的舊版叫做 UDID。 在過去, 這個類似裝置身份證字號的碼, 對 app 開發者完全不設防。 七成左右的 apps 會蒐集用戶的 UDID。 有人研究出如何 拿 UDID 連結到遊戲廠商的資料庫再連結到臉書 最終取得個人真實個資 — 也就是說陌生人 (例如, 會不會有某些不肖的 app 開發商把你的個資賣給誰?) 如果知道你的 UDID, 最終就就可以知道你在真實世界的身份。 在 1200 萬筆 iPhone 用戶的 UDID 及其他個資外洩事件 之後, 蘋果電腦採取一些回應措施, 所以在 iOS 6 當中, app 開發商無法直接取得 UDID、 侵犯用戶隱私。 現在蘋果只讓 app 開發商取得 「依據 app 開發商與用戶身份所計算出來的 獨一無二 Advertising ID」; 但另一方面蘋果自身則 (可能透過已變成秘密的 UUID 資訊再搭配 iCloud 的雲端帳號) 改採用 [識別力更強於或至少等於裝置識別碼 UUID 的] 個人識別碼 Apple ID跨裝置追蹤用戶。 單就 Advertising ID 機制而言, 有專家分析新的機制, 認為雖有改進, 對於用戶隱私保護的改進效果還是有限; 蘋果的真正目的似乎是在排擠廣告分析廠商。 更不用提識別力更強的 Apple ID 對用戶隱私的威脅。 不論蘋果電腦新版 Advertising ID 機制對於保護用戶隱私有多大的改進, 最大的問題是 公民自由人權團體 ACLU 所指出的禁止使用者刪改 UDID , 這是隱私的一大隱憂。 (其實有人指出: 透過很複雜的交涉步驟, 你還是可以刪除 Apple ID) 相較之下, android 手機在還原至原廠設定時, 會將其 Android ID (類似蘋果電腦的 UDID) 也一併恢復成原廠設定值, 還算是比較尊重隱私。 (但這功能卻跟 「還原至原廠設定」 綁在一起, 所以還是不像刪除 cookie 一樣方便、 還是不夠尊重用戶隱私。)

機關可以利用行動裝置管理系統(Mobile Device Management, MDM)管理機關內的行動裝置。 MDM 主要目的在於限制行動裝置上, 可以從事的行為, 甚至可遠端變更與清除行動裝置的內容, 如, 機關可透過 MDM 發送簡訊, 亦可進行要求行動裝置設置密碼、 限制密碼長度、 加密行動裝置內的檔案、 使用軟體權限等各類政策。

如同小格前一篇所解釋: 從用戶個人觀點來看, MDM 比較不像是服務手機持有者的資安技術, 比較像是一種老大哥用來監控管制手機持有者的技術 (surveillance technology)。 請注意: 行政院這一段文字很明白地表示訴 求對象並不是你, 行動電話持有者, 而是機關管理者。 這裡講的比我 MDM 那篇文章所寫的更露骨, 完全不避諱地描述 MDM 讓僱主或主官管對第三方 — 就是身為員工或公務員的你 — 的手機可以如何為所欲為。 「全面監聽」 只不過是 MDM 遠方操控機制的其中一道小菜而已。 在自己的手機上安裝 MDM 客戶端, 就像是把家裡的鑰匙交給公司主管。 主管如果握有你家鑰匙, 或許還會不好意思進出你家、 亂動你家的開關; 但是透過 MDM 進出你的手機則可以如入無人之境, 操控微調你的手機時可以完全不被你察覺, 對於主管 (以及負責管理的技術人員) 可是非常有吸引力的啊! 讀者之中若有公務員被機關主管強迫要求安裝 MDM 軟體, 拜託分享公文。 如果 「要求公務員對長官完全卸除隱私」 的公文竟然被列為密級, 那就更應該爆料。 如果沒有公文, 請堅持拒絕安裝以自保。

行動裝置遭竊或遺失時有所聞, 除建議不要在行動裝置中留存重要資料外, 另建議安裝具有 「可遠端定位並進行資料清除」 功能的資安軟體 (iOS 用戶在註冊登錄 Apple ID 帳號後, 均可綁定屬於自己的 Apple 行動裝置, 可使用 Find My iPhone 軟體進行行動裝置追蹤與遠端資料刪除, 但行動裝置須與網際網路連線的情況下; Android 則無預設的官方行動裝置追蹤保護功能, 須透過安裝額外軟體達成)。

再一次地, 它把有洩漏隱私疑慮的 UDID 跟 MDM 視為蘋果電腦的長項, 順便再婊一次 android。

行動裝置會內建一些保護措施以加強其安全性(例如不能安裝非官方 App 等), 惟使用者可透過破解方式, 取得行動裝置上的最高權限, 以完全掌控行動裝置功能。 但此行為將因內建保護措施被規避, 而造成行動裝置面臨資安上的威脅。 因此, 建議不要破解行動裝置之安全措施。

這段話完全就是誤導與洗腦, 要你相信 「完全掌控自己手中的行動裝置」 就會 「造成資安上的威脅」, 要你相信 「棄權比較安全」 這個謊言。 如果讀完那篇 (重點不是微軟或蘋果的產品; 重點是這個謊言) 還是相信行政院的建議, 那麼我只能說希特勒真的是一位洞悉人性的偉大領袖啊!

蘋果電腦與美國數個情治單位之間有著許多 不可告人的曖昧關係。 最近蘋果又把 「指紋」 這種天天到處留跡又一輩子無法更改的東東拿來當作登入辨識的解鎖鑰匙, 引發黑客破解並警告: 這種技術適合(政府)拿來壓迫與控制,不適合用來作為平日的開機鑰匙。 到目前為止, 沒有一個案例具體明確地證實蘋果電腦真的把用戶個資直接送給 NSA 或 FBI; 但是從技術的角度來看, 蘋果電腦的諸多產品與功能確實都是包了 「方便」 糖衣的集權控管工具 (surveillance tool)。 行政院的這份行動裝置資安建議文件, 如果是去年推出, 也許我還會願意相信這是因為撰寫者 (是哪些資安專家寫的啊? 匿名文件, 你信任嗎?) 不像我這麼注意資通安全與時事, 所以被廠商欺騙。 但是在經歷美國國安局與我國特偵組的監聽醜聞之後, 「沒注意到事實」 已經很難有任何說服力。 當然, 最終每個人自己要判斷、 決定你要相信誰。 如果有些讀者沒空閱讀我所提供的連結但卻還是選擇相信 「監聽到小女孩去的政府」 「習於言論管制的蘋果」」, 那麼我只能奉勸: 信仰歸信仰, 如果執著到一個地步, 竟然願意把自己的隱私拿來當做信仰的賭注與祭品, 那可就真的是迷信了啊!

(本文轉載自 資訊人權貴ㄓ疑


數感宇宙探索課程,現正募資中!

文章難易度
洪朝貴
47 篇文章 ・ 0 位粉絲


1

1
1

文字

分享

1
1
1

今年夏天絕不能錯過——「搞笑諾貝爾獎世界展」首度登台!

鳥苷三磷酸 (PanSci Promo)_96
・2022/05/17 ・1966字 ・閱讀時間約 4 分鐘

你一定知道諾貝爾獎,但你知道世界上竟然還有搞笑諾貝爾獎(Ig Nobel Prize)嗎?搞笑諾貝爾獎是對諾貝爾獎的有趣模仿,甚至還會邀請真正的諾貝爾獎得主來參加!

搞笑諾貝爾獎由美國的科學雜誌《不可思議研究年報》的主編馬克·亞伯拉罕斯發起,每一屆都號稱「第一屆」,每次都會頒發十座獎盃給各領域中「無法被複製」或「荒唐到不應該再來一次」的研究者,頒獎要旨是希望讓大家能夠"先大笑,再思考"。臺灣也有多位學者共襄盛舉,並曾六度獲獎,臺灣立法院更曾拿下和平獎,其中原因竟然是因為他們以打架替代戰爭!典禮現場更是充滿歡笑,讓人佩服科學家怎麼一本搞笑做研究!

搞笑諾貝爾獎頒獎現場超搞怪!

  • 量身打造獎盃,每年都以當年獲獎的研究為靈感,製作不同主題的獎盃!
  • 不值錢獎金,得獎者會獲得比壁紙還不值錢的高額辛巴威幣作為獎金。
  • 甜便便小姐,得獎者只有 60 秒的時間能發表感言,只要一超時,年幼的「甜便便小姐」就會大叫:「請停下來吧!煩死人了!」直到得獎者下台。
  • 全場亂飛的紙飛機,頒獎典禮中會安排一名背著一個紅色靶心的人,讓台下觀眾將手中紙飛機射向台上的靶心。
2009 年的得獎者們。

今年夏天搞笑諾貝爾獎世界展將首次登台!廢到笑的研究與發人省思的成果,一次集結歷屆讓人目瞪口呆的得獎研究及五大互動體驗,讓你一本正經的捧腹大笑!展區內充滿更多腦洞無極限的幽默科學得獎,一定要揪朋友一起來漲知識。

5/2-5/26 早鳥 $260 限時搶購,購票請洽:https://kham.tw/t14cjEav

ㄎㄧㄤ到爆獎項搶先看

搞笑諾貝爾獎世界展將集結眾多搞笑諾貝爾獎的獲獎研究,其中有許多讓人會心一笑的內容,像是鴿子也懂藝術?日本學者就曾做過實驗,證明鴿子可以分得出畢卡索和莫內的畫;在野外遇到熊怎麼辦?只要穿上防熊裝就不用怕;指甲刮黑板的聲音經研究證實為世界上最讓人痛苦的聲音!

曾有科學家發明出可迅速變身防毒口罩的胸罩,並成功獲得搞笑諾貝爾獎的公共衛生獎,其發明聽起來很荒謬,但背後原因是胸罩是會隨身穿戴的物品,能夠在緊急時刻變成防毒口罩保護他人,符合了搞笑諾貝爾獎頒獎要旨「先大笑,再思考」,另外還曾有一年的「獸醫學獎」頒給發現幫乳牛取名字,就能夠增加產乳量的專家學者!以及最經典的貓貓是液體嗎?也都存在於搞笑諾貝爾獎的得獎研究裡!

  1. 鴿子也懂藝術?|連鴿子都分得出畢卡索和莫內的畫!
  2. 野外遇到熊了怎麼辦?|穿上防熊裝,再也不怕!
  3. 動物也吃重口味!?|綠頭鴨也有戀屍癖!?
  4. 用「屁」交流!|看看鲱魚怎麼用放「屁」溝通!
  5. 逃跑鬧鐘|還想賴床按鬧鐘嗎?鬧鐘本人跑起來給你追!
  6. 最討厭的聲音!|指甲刮黑板太邪惡了!
  7. 如何增加乳牛的產乳量?|不妨給牠取個名字吧!
  8. 胸罩變口罩|在突發的緊急狀況時胸罩變防護口罩!?  
  9. 恐龍走路長甚麼樣子?|在雞的屁股裝上一根棒子就知道!
  10. 貓是液體嗎?|喵星人的貓體力學大解密!

五大互動體驗,只有實驗了才知道

展區現場將規劃五種關於搞笑諾貝爾獎得獎研究的實際互動體驗,讓你能夠化身為小小研究學者,一起來實際試試看、探討世界上經典的搞笑研究!

  1. 吐司永遠是塗奶油的那面先落地嗎?
  2. 挑戰「說話干擾器」!你能夠堅持把話說完嗎?
  3. 極高速烤肉!液態氧+木炭可以燃起多大的火花?
  4. 活性碳內褲過濾屁味?沒有比較沒有傷害
  5. 旋轉吧!高速助產裝置,離心力有助生產?

2022年最寓教於「笑」的展覽,更多大開眼界的搞怪研究,就在國立臺灣科學教育館等你來刷新三觀! 5/2-5/26早鳥$260限時搶購,購票請洽:https://kham.tw/t14cjEav

 圖/歷屆得獎者授獎畫面
圖/日本展出現場照

展覽資訊

  • 展覽名稱:搞笑諾貝爾獎世界展
  • 展覽日期:2022 年 6 月 25 日(六)至 2022 年 9 月 11 日(日)
  • 展覽地點:國立臺灣科學教育館 七樓南側特展區(臺北市士林區士商路 189 號)
  • 展覽時間:平日9:00-17:00/週末、國定假日、暑假 9:00-18:00
    (閉展前 30 分鐘停止售票及入場)
  • 休展日:6/27(一)、9/5(一)
  • 主辦單位:寬宏藝術經紀股份有限公司、三貝多股份有限公司
  • 企劃單位:株式会社ドリームスタジオ(Dream Studio Company)
  • 授權單位:IMPROBABLE RESEARCH, INC.

購票請洽:https://kham.tw/t14cjEav


數感宇宙探索課程,現正募資中!

所有討論 1
鳥苷三磷酸 (PanSci Promo)_96
9 篇文章 ・ 7 位粉絲
充滿能量的泛科學品牌合作帳號!相關行銷合作請洽:contact@pansci.asia