知識大圖解：手機通話的運作原理

• 本文轉載自科技大觀園，原文為《為什麼網路廣告都知道我去過哪些地方？手機通訊的資安隱憂與個資保護新技術》
• 作者／吳謹安｜科技大觀園特約編輯

新冠肺炎疫情在國際間蔓延接近兩年，疫情前期政府推出「電子圍籬」系統，透過手機監測居家隔離者是否違規外出，卻也衍生出人民隱私遭到侵犯的討論。但事實上，早在疫情前電信商就能取得使用者身分與手機位置的資料。即使關閉 GPS，日常手機在與周邊基地台交換數據的過程中，就需要提供裝置身分識別與位置資訊。當電信公司將相關資訊販賣給資料仲介（data broker）等第三方，或是資訊傳輸過程被駭客竊取，便可能造成潛在的資安問題。

因此，南加州大學（University of Southern California）研究團隊便提出一項新技術－Pretty Good Phone Privacy （PGPP），嘗試在確保服務品質的情況下，保護裝置使用者位置的隱私性。

身分驗證：通訊網路如何識別用戶與提供服務

「我們在不知不覺間同意讓手機變相成為行蹤跟監裝置，但直到今天我們對現況仍然沒有其他選擇－使用手機等於同意接受跟監。」PGPP 研究者 Barath Raghavan 表示。另一位研究者 Paul Schmitt 則進一步指出，現有通訊網絡的問題在於身分驗證與提供通訊服務使用的透過相同的管道進行。不僅讓電信商能利用這些敏感資訊尋求商業利益，也讓駭客有機會從外部透過技術取得使用者的敏感資訊。

不過，想了解使用者訊息是如何在環環相扣的網絡中被蒐集，甚至面臨被竊取的風險，必須先從手機如何取得通訊服務講起。

日常生活中，手機在接收資訊時，需要與遍布周遭的基地台與通訊網路取得聯繫，由各個基地台以六角形的方式構成的通訊網絡，也稱作蜂巢式網絡（Cellular network）。為了提供收發資訊的服務，手機需要藉由無線電波與網絡中的基地台驗證身分，確認裝置為付費用戶後通訊網絡便可以開始提供其他服務。

進一步以 5G 服務為例，5G 架構可以分為 NG-RAN（Next Generation Radio Access Network）與 NGC（Next Generation Core）兩部分（如圖一）：（1）NG-RAN 由手機（UE）與基地台（gNodeB）組成，手機可以透過基地台手機連接到NGC。（2）NGC 則提供身分驗證、計費、簡訊和資料連接等服務，包含 AMF（Access and Mobility Management Function）、AUSF（Authentication Server Function）、SMF（Session Management Function）和 UPF（User Plane Function）五個部分。其中 AMF 主要負責與手機溝通、AUSF 負責驗證、SMF 和 UPF 則提供 IP 位置與連線服務。

連網過程中，手機會透過最鄰近的基地台將儲存於 SIM 卡中的身分識別碼－SUPI（Subscription Permanent Identifier）在 4G 中稱作 IMSI（International Mobile Subscriber Identity）傳送給 AMF，此時 AUSF 會對 SUPI 進行驗證確保此手機是有效用戶。通過驗證後，SMF 與 UPF 便會提供 IP 位置與開放網路服務。而在驗證過程中，電信商的 AUSF 資料庫會記錄所有透過它取得網服務的 SUPI 以及其他註冊資訊。由於每個 SUPI 都是全球唯一且永久的識別碼，因此除了電信商，對有意監控手機用戶的人而言，SUPI 也成為一個極具價值的目標。

基地台定位系統可能成為駭客攻擊的跳板

此外，敏感資訊在前面提到的層層傳輸過程中也面臨駭客的威脅，駭客可以透過被動擷取與主動蒐集兩種方式，掌握用戶的 SUPI／IMSI 與位置資訊，並進行一連串後續的侵權行為。

被動擷取是利用手機與基地台溝通之間的漏洞來達成目的。例如，近年基地台模擬器－IMSI 擷取器（IMSI catchers）或俗稱魟魚逐漸興起，利用手機會自動連接到鄰近最強訊號源（通常是基地台），並提供自身 SUPI／IMSI 以供驗證的特性。IMSI 擷取器發送強於周圍合法基地台的訊號，藉此取得用戶的識別碼，讓監控者可以辨識與監聽未加密的用戶通訊內容，其實這種作法早已在情報單位與極權國家被廣泛地利用。

雖然現有通訊網路嘗試提供暫時性驗證碼－如 GUTI（Globally Unique Temporary UE Identity）來代替 SUPI。只要手機成功連到網路，便會用 GUTI 代替 SUPI，成為該手機的臨時標籤，減少 SUPI 暴露在網絡傳輸過程的次數。但就算 GUTI 會由 AMF 定期更換，實務經驗指出 GUTI 對於使用者隱私的保護有限，駭客仍可以透過技術將 GUTI 去匿名化，進而掌握特定個人的行蹤。

除了被動擷取資訊，駭客還可以利用基地台呼叫（paging）定位的原理主動地發動攻擊。為了能快速定位用戶位置以確保通訊服務能被送達，電信商會將數個基地台覆蓋區域組成一個追蹤區域（tracking area），並且如果有訊息傳送到閒置中的手機時，基地台會要求手機回傳臨時識別碼。駭客在不知道用戶位置與身分識別碼的情況下，可以頻繁地撥打電話給鄰近追蹤區域內的裝置再迅速掛斷。用戶手機可能根本不會跳出通知，但駭客卻可以利用追蹤區域的基地台呼叫訊息，在短時間內定位出用戶的大略位置，甚至進一步可以癱瘓與綁架目標用戶手機服務。

值得一提的是，儘管 5G 技術在保護隱私上做了許多改進。但 5G 訊號使用更高的頻段，提供高傳輸速率與低延遲服務的同時，也伴隨通訊距離、覆蓋範圍較 4G 小的限制。為了確保通訊服務便需要提高基地台密度，等於變相讓電信商與駭客能更準確定位使用者的位置。

PGPP：將身分識別驗證與網路服務分開進行

雖然個人行蹤隱私與手機識別訊息洩漏會造成龐大的社會成本，但要透過改變現有通訊網絡硬體設計，達到保護個資的目的，也需面臨設備更新成本巨大的挑戰。因此 PGPP 嘗試從軟體的角度解決問題，讓用戶可以透過 PGPP 保護自己的行蹤隱私。

「解決問題的關鍵在於，如果要希望保持匿名性，又要怎麼讓通訊網絡驗證你是合法的使用者？」Barath Raghavan 說。為了將身分驗證與網路服務的過程拆開，PGPP 使用了加密標記（Token）與代理伺服器的概念。在 PGPP 的協定中，付費用戶可以從電信商取得一個加密標記。而所有用戶第一次連接到基地台時，使用的是一樣的 SUPI／IMSI，讓使用者連結到代理伺服器的驗證畫面（PGPP－GW），並以加密代幣進行驗證。過程中電信商與駭客只能看到所有用戶都使用同樣的 SUPI／IMSI 與 IP 位置進行連網，如此一來，身分識別資訊與基地台資訊就能夠完成分離（圖二）。

此外，為了解決駭客利用追蹤區域基地台呼叫訊息來定位用戶，PGPP 為每個手機隨機客製不同的追蹤區域，而非傳統地由電信商定義出追蹤區域。如此一來，駭客即便取得追蹤區域編號也無法得知用戶實際所處的位置在哪裡（圖三）。

為了能真實測試 PGPP，Barath Raghavan 與 Paul Schmitt 甚至成立了一家新創公司－Invisv。結果顯示 PGPP 在保護個資的同時，也幾乎不會有延遲增加、流量過載，以及其他匿名網路會遇到的延展性問題。由於 PGPP 只是停止讓手機向基地台傳送自己的身分，因此其他定位功能還是可以正常使用。

最後，Barath Raghavan 也指出現在是人類有史以來第一次，幾乎每個人無時無刻的行蹤都能及時地被掌握。但人們常常默許地將關於自身資訊的控制權交給大公司與政府，PGPP 的發明就是希望在這樣的洪流中取回一些對自身隱私的控制權。

資料來源

1. Pretty Good Phone Privacy
2. Is Your Mobile Provider Tracking Your Location? This New Technology Could Stop It.
3. 4G、5G技術漏洞可讓駭客追蹤用戶地點、癱瘓手機、攔截通話內容

• 作者 / 慕容峰 │ 從事數位鑑識工作多年，在分析證物的過程中，彷彿側耳傾聽證物娓娓道來一般，同時審慎客觀地仔細分析察看，即便是旁枝末節也不輕易放過，浸淫其中而樂此不疲。

智慧型手機已然成為人們生活中不可或缺的一部份，舉凡記事、行程提醒、影音娛樂、購物消費、社群聊天、導航等等，皆可一機搞定滿足食衣住行育樂各種需求。

正因為如此，我們使用智慧型手機過程中所留存的各種資訊，其實就約等於使用者日常生活的紀錄。

試想看看，倘若鑑識人員可以拿到嫌疑犯的智慧型手機（以下簡稱為手機），是不是就可以知道找出嫌疑犯的各種生活小細節呢？由此可知，手機的取證，已經逐漸成了犯罪調查的重中之重。

只要能有效提取手機裡的各項跡證，便有助於釐清有無與案情相關之處！

犯罪調查中的重點：智慧型手機！

對鑑識人員而言，雖然手機與電腦同樣都可以當作證物，卻有著很大的差異。

桌機、筆電的硬碟是可以拆卸的，然而手機是使用快閃記憶體（Flash）來儲存資料，而且直接焊在電路板上，再加上手機只有一個 USB 埠可資利用的情況之下，如何自手機中提取跡證，便成了鑑識人員的一大挑戰。

首先，打開手機與工作站的 USB 通道！

為了保護手機的資料安全，手機廠商通常會限制 USB 連線後的權限，也就是說，當我們將手機用 USB 連上工作站（電腦）時，工作站無法馬上直接識別手機，也無法讀取手機裡面的資料。

因此當鑑識人員使用 USB 將手機連上準備好的工作站後，第一要務便是要讓手機可被工作站順利識別，建立手機與工作站之間的基礎信任關係，不然就什麼也做不了，更別說提取資料了。

• 為了方便說明，在此我們先將情況簡化，假設鑑識人員非常幸運，拿到的手機沒有被鎖定。

這個時候，鑑識人員可以視情況在工作站安裝手機的驅動程式，接下來，讓手機透過 USB 連上工作站，並在手機中的「設定」中找到「開發人員選項」，開啟「USB 偵錯」功能，打開手機與工作站之間的 USB 通道。

拿來控制手機的「遙控器」：ADB

打開通道然後呢？鑑識人員究竟要怎麼做，才能提取手機內的資料？在此，我們就不得不先談談所謂的 ADB 啦！ ADB 是 Android Debug Bridge 的縮寫，它就像是工作站拿來掌控手機的遙控器，當我們透過 USB 把手機連接到電腦後，就可以利用 ADB 的指令來控制、調教這一支手機。

完成這些步驟後，鑑識人員可以在工作站執行 ADB 的指令「lsusb」，來測試看看工作站有沒有辦法辨識 USB 裝置，如果執行獲得如下圖結果，就表示有順利辨識出連接的 USB 裝置。

接著，我們執行指令 adb devices 以查看手機目前的狀態。

建立手機跟工作站之間的基礎信任關係！

執行結果如下圖所示，圖中「BXXXXXDR」這個值，就像是手機在電腦中的裝置名字（識別值），手機的狀態為後面的「offline」 ，意即「離線」的意思。

咦？剛剛不是已經接好了 USB 了嗎？為什麼手機的狀態還是離線呢？這時候我們必須將視線移開工作站的螢幕畫面，回頭看看手機螢幕上的動靜。

此時，我們可以發現手機螢幕上彈出了如下圖的警示訊息，為了能於此工作站上以 ADB 指令控制這支手機，並把資料提取出來，務必要勾選「一律允許透過這台電腦進行」並點擊「確定」，這樣才能讓手機跟電腦之間建立永久、有效的信任關係。

一旦完成之後，就可以再次執行指令 adb devices。所得到的執行結果如下圖所示，狀態值由「offline」變成了「device」，即代表電腦成功辨識手機，並處於正常開機模式。

由於信任關係已建立完成，在未撤銷的情況下，後續當這支手機再次接入此工作站時，便不會再次要求手機「允許 USB 偵錯」了。

你從來都不是手機心中「最重要」的人

接下來，鑑識人員要想辦法獲得手機的系統最高權限，讓工作站有權利提取手機的一切。

在這裡，要跟各位說明一件事，那就是「你未曾真正擁有過你的手機」。

各位想必不以為然，「手機的主人明明就是我，每天陪我吃喝拉撒睡，睡前、睡醒第一個看到的人都是它，它怎麼不是我的？」

但實情是，當各廠牌的手機一出廠，手機的預設環境都只是一般使用者環境，也就是說，你，只是這支手機的一般使用者，不是手機系統中的最高權限者。

為什麼廠商要這麼做？原因很單純，為了避免高昂的維修成本。

試想看看，如果每個使用者都擁有手機的最高權限，相對就有較高的機會將手機玩殘，一旦手機變磚（手機弄壞以至於完全沒反應），使用者就只能帶著它去找廠商幫自己擦屁股。廠商自然不樂見如此，因此，廠商在手機出廠時就會預設：僅讓使用者以一般權限帳號運行。

普通消費者在一般使用過程中，不太容易察覺到這件事情，只有某些非常規操作，像是「刷機」或「root」的玩家，才會用到比較高的系統權限。

提升你的地位，才能帶走手機的全身心

「提權」，意即將自己的操作權限由一般使用者提升至「系統最高權限」，造訪手機內部的任何路徑、存取手機的所有檔案。

對於鑑識人員來說，提權就是取得重要跡證的關鍵，一旦擁有裝置的至高無上權後，就可以從手機中獲得嫌疑犯的詳細資料、相關罪證。例如，當鑑識人員來到 Android 手機的 App 所在路徑 /data/data/ ，執行「ls –al」指令，就可以順利列出了該路徑下的資料夾及檔案。

嫌疑犯與他人的通訊紀錄，時常也會成為重要的犯罪證據之一，倘若鑑識人員需要針對 Line 進行取證，便可在/data/data/路徑下查找是否有與 Line 相關的 「package name」，例如負責儲存 Line 相關資料的「jp.naver.line.android」資料夾。

當我們需要調閱 Line 裡面的聊天訊息時，鑑識人員會切換至「jp.naver.line.android」中的「databases」，裡頭便有著存放聊天訊息的關鍵檔案！

鑑識的奧義：永不言棄，突破手機的「心防」！

透過鑑識人員與手機之間的「攻心大戰」中，想必讀者們對於智慧型手機的取證有了初步的了解，一窺鑑識人員不斷攻略手機的生活。

儘管面臨著重重難關及挑戰，鑑識人員從不輕言放棄，在巴掌大小的手機之間攻城掠地，力求掌握提取跡證的關鍵契機，為還原真相及打擊犯罪貢獻一己之力。

• 作者／古倫姆斯 (David Robert Grimes) ；譯者／楊玉齡

矛盾非常寶貴，因為它們警示我們有些事情不準確了。不過，我們在「忽略矛盾對我們造成的損傷」方面，老練得驚人。

這是一個充滿電磁波的世界

想想看，我們被一整群看不見的光線所包圍的這件事實。我們的眼睛只能感知極少量的電磁波譜，但是電磁波譜概括了我們所有知道的顏色、以及所有我們能看見的景象。

電磁輻射瀰漫在一切事物上，從照亮我們世界的可見光，到廣播媒體賴以傳播全世界的無線電波，到革新解剖影像和癌症治療的 X 光。

在這個無線通信時代，我們的電話和路由器都借助微波輻射之便，以驚人的快速度，將差不多是整個人類知識的寶庫，傳送到我們指尖。

但是，在一個行動電話與 Wi-Fi 愈來愈無所不在的世界，我們是否有理由擔心自己的身體健康？

Wi-Fi 會危害我們的健康嗎？

上網快速掃描一下，可能讓人覺得確實如此。很多網站活靈活現的表示，手機會大大增加罹患腦癌的風險。另外一些人則堅稱我們的手機和路由器正在把我們「煮熟」。

某些健康諮詢機構強調 Wi-Fi 的危險，提供了套裝產品，以降低看不見、摸不著的輻射暴露，當然他們為此而收取了看得見、摸得著的鈔票。

另外還有一些人斷言，射頻（無線電頻率）輻射的危險被電信巨頭和手機製造商給隱瞞了，有個人在 2017 年成功控訴加州衛生局，強制他們發布行動電話輻射暴露的指導方針。

讓人不安的電磁波評估報告

但是這類聲明最普遍的來源是《電磁波風險評估報告》（BioInitiative Report），它最早是在 2007 年於網路上發表，引起媒體界大轟動，後來在 2012 年更新。

這份報告號稱是由一群研究人員及公共衛生專家所做的研究，它直白的結論毫無模糊空間：射頻輻射正造成無數健康方面的影響，包括大量增加的癌症風險。

拋掉手機之前，修但幾勒！

不過，先別急著甩掉手機和拔下牆角的路由器電纜，《電磁波風險評估報告》的說法與現有大量科學數據明顯相反。

世界衛生組織宣稱：「因使用手機而對人體造成的不良影響，尚無證明。」英國癌症研究中心指出，到目前為止，證據「顯示手機不太可能會增加腦瘤或其他種類癌症的風險」。

如果手機會造成癌症，我們應該會看到癌症病例驟增，以回應過去這二十年來的手機用量大增。但是根據大型流行病學研究，這個現象並沒有出現。

到目前為止的證據，明顯有違「使用手機導致罹癌風險增加」的假說，那麼這些混淆是從何而來呢？

輻射不等於放射性！

很不幸，部分來自於「輻射」（radiation）這個字眼的含糊。這個遭到深深誤解的概念，令人產生陰森的「放射性」（radioactivity）聯想。

這樣的結合很不幸，因為輻射不過是指「能量在某種媒介或空間中的傳送」。就電磁輻射來說，是指一批電磁波以光速移動。電磁波譜是所有可能存在的電磁輻射頻率的範圍，而能量則與頻率成正比。

雖然我們只能看見電磁波譜裡以「可見光」形式存在的一小部分，但是我們可以把電磁波譜想成一系列具有不同能量的光粒子（光子）。

水能載舟，亦能煮粥的「游離輻射」

其中某些光子的能量非常充足，可以把原子裡的電子轟出去，打破化學鍵。這使得它們有能力導致 DNA 受損，而 DNA 受損通常是癌症的一個先決條件。能量大到足以解放電子的光，稱為「游離輻射」（ionising radiation），而且確實有害我們的健康。

但是就算高能量電磁輻射這項看似負面的特性，也具有正面的結果，可以用來增進我們的福祉，例如 X 光在放射療法中可以殺死癌細胞。

不過，單單這項事實，就足以令人們不安，想到一個滿合理的問題：如果 X 光這種電磁輻射可以用來摧毀細胞，大量使用無線通訊是否會引發 DNA 受損，並最終導致癌症？

所以說，手機也是游離輻射嗎？

這種擔憂是可以理解的，但這主要是因為不瞭解電磁波譜究竟大得多麼不可思議。現代通訊工具諸如 Wi-Fi 和手機網路，都是完全位於微波端的範圍，頻率介於300兆赫到300千兆赫之間，因此屬於低能量光子。

我們不妨做一個通盤比較，鑑於能量最低的可見光的光子（波長約 700 奈米，而 1 奈米等於十億分之一公尺）攜帶的能量，大約為最高能量的微波光子（波長 0.1 公分）的一千四百三十倍。

手機和路由器的微波輻射顯然是非游離的，完全無法造成 DNA 損傷。也因此，我們沒有看到癌症發生率隨著微波輻射而增加，其實一點都不令人驚訝，因為微波輻射根本不夠強大，比可見光（燈光、日光）還弱，無法造成癌症必需的細胞損傷。

這些危言聳聽從哪裏來？

就最基本的條件來說，《電磁波風險評估報告》犯了一個極為根本的邏輯錯誤。

為了要支撐他們的危言聳聽，他們選擇已知的高頻游離輻射的有害衝擊，然後表達成彷彿這些衝擊也適用於非游離射頻電磁輻射。他們辯稱：

• 前提一：所有射頻輻射都屬於電磁輻射
• 前提二：某些電磁輻射可能導致癌症
• 結　論：因此，射頻輻射會導致癌症

這是「中詞不周延謬誤」（fallacy of the undistributed middle）的典型範例，當三段論裡的「中詞」（也就是在兩個前提中都有出現，但是沒有出現在結論中的名詞）沒有被賦予「明確分布」時，像是「全部」或「全無」，就會出現這種形式謬誤。

在這裡，我們曉得「某些」電磁輻射可能造成癌症，但那不是一種明確分布。從這個邏輯中得出的結論，自然就是無效的。

電磁風暴一波未平，一波又起

2017 年，一篇發表在很有名望的期刊上的論文宣稱，射頻電磁輻射不只和癌症有關，也和自閉症有關。這篇論文落到了我桌上，也落到了心理學家畢夏普（Dorothy Bishop）的桌上。

畢夏普除了是寫作高手之外，也是英國皇家學會院士，她的學術專業主要在於發展性語言障礙。這篇論文所宣稱的自閉症關聯，令她驚呆了，而我對論文裡的生理學主張的看法也是如此。這些悲慘的想像究竟源自何處？當然是《電磁波風險評估報告》啦。

事實上，這篇令人厭惡的論文的首席作者，正是那篇報告的共同主編賽吉（Cindy Sage）。賽吉並不具備學術相關背景，但是她經營了一家專門「致力於減少射頻暴露」的顧問公司。耐人尋味的是，這項事實並未載明於利益衝突聲明中。

——本文摘自泛科學2020年9月選書《反智：不願說理的人是偏執》，2020 年 7月 月，天下文化。