Re: [討論] 資安問題是不是需要認真討論一遍？

dansy 發表於 2024/12/18 下午2:31:43

看板MobileComm標題Re: [討論] 資安問題是不是需要認真討論一遍？作者

dansy

(Eye Taiwan)時間Dec 18 14:31:43 2024推噓 1 推:1 噓:0 →:3

PTT評價

中國(陸版)手機到底有沒有資安問題?
直接回歸到最底層邏輯

Q1.中國(陸版)手機主體銷售對象是?
A1.中國平民

Q2.中國平民的個資、財產資料誰最清楚?
A2.中國政府

就以上兩個簡單邏輯就能理解，中國政府本就擁有所有中國平民的個資、財產資料
根本沒必要去費力監控每一隻中國(陸版)手機來獲取

*************************
個資疑慮解決了，接著繼續討論--通訊、網路瀏覽、消費資料等隱私問題--

Q3.假設中國政府透過中國(陸版)手機來監控所謂的"反共產政府人員"，如何規避?
A3.買支"非陸版手機"

Q4.假設你是中國政府，你會允許A3情況發生嗎?
A4.不允許。
會改從網站/app伺服器端資料著手
不論使用者使用任何手機，只要網站/app伺服器在中國都能監控

**************************
再來討論最後所謂的--定位問題

Q5.假設中國政府透過中國(陸版)手機來定位&追蹤人員位置，如何規避?
A5.買支"非陸版手機"

Q6.假設你是中國政府，你會允許A5情況發生嗎?
A6.不允許。
會改由追蹤sim卡訊號，搭配道路監控人臉辨識系統、電子支付位置等資料確認
不論使用者使用何國手機，均可以保證在中國境內直接定位

**************************

以上簡單邏輯辯證，不是要幫對岸共產政府說好話

實際上監控人民通訊與資料這檔事，全世界政府都默默在做
搞情報的都是聰明人，監控幾千台伺服器就能搞定的事
根本不會選擇費力去監控幾億支手機這種吃力不討好的做法XD

※ PTT 留言評論

※ PTT 網址

推

strikeone 12/18 14:54Exactly 一堆似是而非的言論可以休止了真理越辨越

→

strikeone 12/18 14:54明

→

strikeone 12/18 14:54美國該增加抹黑中國的預算了XDD

推

se2422 12/18 15:03直接從源頭開始下手中國政府哪會跟人民那麼客氣

推

coollee 12/18 15:04簡單說非陸版全世界使用者都會抓bug的

→

coollee 12/18 15:05想搞事也是影響自己的銷售額目前搞這事代價太大

→

alonli 12/18 15:07全世界的政府有哪一個會對人民客氣的介紹一下

→

WOGEchidna 12/18 15:11還是那句話，怕就別買，買就別怕，別人認為個資疑

→

WOGEchidna 12/18 15:11慮那是別人的想法，網路筆戰從來都說服不了對方

推

se2422 12/18 15:14筆戰本來就不是要說服對方而是不斷地要重複自己的

→

se2422 12/18 15:15觀點

推

xoy 12/18 15:19第一段有點問題，中國政府不一定有非中國人民的個

→

xoy 12/18 15:19資，現在不就是在討論非中國人使用中國版手機嗎？

→

xoy 12/18 15:19其餘觀點沒什麼意見

沒錯阿本文就是論證"中國版手機"(又稱"陸版手機") 銷售對象就是中國平民 => 根本不需要內建監控所以可以推導出，是不是中國人來使用"中國版手機"，結果都是一樣的至於國際版有沒有疑慮，我個人是覺得機率也不高畢竟能從伺服器端監控，中國情報單位與品牌不至於傻到被全世界抓個現行犯再說的更明白一點，即便你用所謂的美版iphone 只要你上淘寶、京東買東西，或者上bilibili看影片還是有可能會被習大大知道你的喜好的..... 但在那之前，其實拜登老頭早就知道你平時都看啥YT配飯，在AZ上買什麼送老婆了XD

→

WOGEchidna 12/18 15:20中國版本的手機、中國品牌但海外版本的手機，這兩

→

WOGEchidna 12/18 15:20個也要分清楚就是了

推

strikeone 12/18 15:54怕資安跟滿清害怕鐵路一樣台灣守舊派冥頑不靈老

→

strikeone 12/18 15:54殖民地了只能學日本當年殖民台灣揍一頓才會乖

推

FantisyP 12/18 16:01這篇合理

推

xoy 12/18 16:09監控行為從伺服器端收集是一條路，收集用戶端傳來

→

xoy 12/18 16:09的是另一條，之前歐美對中國網通產品的疑慮就不是

→

xoy 12/18 16:09伺服端的設備而是中間段的，另外有個人資訊跟收集

→

xoy 12/18 16:09個人行為是兩件事，在中國的確伺服器到網路都可以

→

xoy 12/18 16:09高度控制，但這跟從用戶端收集行為甚至加密資料的

→

xoy 12/18 16:09需求是分開的

其實看那些發表報告的研究機構跟政府關係就知道都嘛是先畫靶再射箭，不然預算怎麼來? 退一步來說，有人注意過微軟Windows更新中有個選項"傳遞最佳化"嗎? 表面上說是用P2P技術加快更新下載速度但整個Windows都是閉源的，誰知道背地裡上傳什麼資料?

推

xoy 12/18 16:12如果我確定政府只管網路跟伺服器，那很簡單我找個

→

xoy 12/18 16:12加密的方式通訊政府就不知道我的行為了

理論上是沒錯，但政府可以從其他管道預測你要幹嘛比如你採買什麼物品，訂幾號的車票之類的全部都是從伺服器端就能監控

推

xoy 12/18 16:27如果我知道政府監控伺服器，當然就不會用一般的管

→

xoy 12/18 16:27道買啊，難道中國都沒走私這件事？

肯定是有的，不過你說的比較像毒販/黑幫行事但老實說對岸政府可能比較關心人民會不會起義聚眾鬧事:)

推

xoy 12/18 16:33其實這跟是不是中國也沒一定的關係，任何國家就算

→

xoy 12/18 16:33有完全掌握網路跟伺服端的天羅地網，有些事情想辦

→

xoy 12/18 16:33法從用戶端直接收集還是最有效而且可能是唯一的方

→

xoy 12/18 16:33法

你說的應該是針對特定對象，透過社交工程在對象手機/電腦植入監控程式針對高價值目標研究分析，肯定是最費人力但也最有效的方法但這種監控方式不能同時灑向幾億人阿:)

噓

sunen 12/18 16:38中國組裝的手機或零件到底有沒有資安問題，無法證

→

sunen 12/18 16:38明沒有請不要使用

→

sunen 12/18 16:39在台灣連網的伺服器有沒有用中國貨，你知道嗎？

推

haeyhotw 12/18 16:43沒人討論我的文QQ

推

xoy 12/18 16:47收集資訊可以是固定的如街頭監視器，我們都知道某

→

xoy 12/18 16:47些國家的人臉辨識技術不錯，另外收集的方式也不是

→

xoy 12/18 16:47要就全開，有幾億支手機沒錯，但是我可以選擇收集

→

xoy 12/18 16:47的對象，要用再開就好。如果啦，我覺得某些地區有

→

xoy 12/18 16:47點怪，我收集連線該地區手機的資料即可，只要後門

→

xoy 12/18 16:47是我可以開關的即可

那就回到文中的Q3 所謂的"異議份子"，可能早就拿非中國手機，請問你要怎麼監控? 所以在中國版手機上預設監控是沒意義的，有心人士早避開了:) 反過來說，要監控所謂的異常事件(聚集) 可以參考最民主的DPP王義川大將軍之前吹牛的"電信訊號分析" 根本不用手機上傳，連群眾的個資都能知道了

推

xoy 12/18 17:04那是你把收集這件事以為只要針對誰就好，但是收集

→

xoy 12/18 17:04的目的是找出刻意隱藏的關聯，每次討論這種問題常

→

xoy 12/18 17:04常網友會說我不重要，但這不是你決定的，你無意間

→

xoy 12/18 17:04的行為能連結到某些對象時，你自己不知道的行為就

→

xoy 12/18 17:04是有價值的

實際上是政府要監控人民有太多方法你說的這種就屬於大數據關聯分析從伺服器端取得資料是最完整也最快的方法從手機端著手反而是最慢也是最下策

→

xoy 12/18 17:05電信訊號跟手機直接看是兩回事啦

推

ntuanada 12/18 17:12http://i.imgur.com/OSKSjlA.jpg

推

banbanzon 12/18 17:22你484沒領教過華為問界收集用戶隱私數據到啥程度?

→

banbanzon 12/18 17:22https://youtu.be/Ryij81J15hs?t=1548

→

banbanzon 12/18 17:22大概在車裡偷打手槍華為能靠車內一堆感應器略知一

→

banbanzon 12/18 17:22二

推

banbanzon 12/18 17:33我看過這麼多3c產品和汽車評測從來沒見過有廠商為

→

banbanzon 12/18 17:33了懟自媒體或車媒把用戶隱私數據從雲端調出來公佈

→

banbanzon 12/18 17:33的更何況還是做手機和通訊設備的大廠

同樣的問題，你確定特斯拉回傳的只有車前鏡頭影像? 不包括車內感應器數據?

噓

ziggs8308 12/18 18:03第一點邏輯就反了

→

csh810317 12/18 18:17反了你要提出證明，懂嗎

噓

issemn 12/18 18:19你會被噓幫補血

噓

Chen73 12/18 18:29好了啦全世界就中國最危險

剛吃飯看到的新聞，差點噴飯果然中國是世界最危險的，連大蒜都可以威脅美國國家安全 :) 「佛羅里達州參議員推動在美國雜貨店移除中國大蒜，並在軍事基地禁止使用中國大蒜」

https://i.meee.com.tw/tuWTKzY.jpeg

→

xoy 12/18 18:34大數據的前提就是要收集數據，有伺服器是當然的但

→

xoy 12/18 18:34是不可能只有伺服器，不看國家，企業的資安方案通

→

xoy 12/18 18:34常不會僅限在伺服跟網路端，BYOD是有限制的。已經

→

xoy 12/18 18:34花了極大物力蓋網路長城跟眾多人力做言論審查，有

→

xoy 12/18 18:34沒有動機做徹底一點？

同一件事肯定有很多種解決方案，重點在於成本先別說數量，光中國機繁雜的品牌與型號，天知道要處理多久? 還不如從伺服器端數據著手...

推

mike198 12/18 18:35重點是專制或民主監控。

是阿，有民主價值，做壞事也變成好事:)

推

goisjkps 12/18 18:50太幽默了把犯人關在監獄圍牆裡面他們就自己會自動

→

goisjkps 12/18 18:50變乖了

噓

suifong 12/18 18:51請先定義中國平民

推

vbotan 12/18 19:05立意良善的監控懂嗎

→

vbotan 12/18 19:05這裡一堆被王義川看屁眼很開心的還要說服他們什麼

辨到最後就成了信仰問題信者恆信不信者就算了但想說的是『對岸可能壞，但人家不蠢』:)

推

seiten137 12/18 19:36台灣數發部可是領很多經費應該有做事

推

xoy 12/18 19:48大國的技術能力是不用太懷疑，但是如果天羅地網這

→

xoy 12/18 19:48麼強那也不用搞x國版國際版，除了谷哥退出之外就是

搞陸版/國際版主要是基於成本&專利考量

→

xoy 12/18 19:48資料落地，這也不是本國品牌而已，蘋果三星一樣資

→

xoy 12/18 19:48料要留在國內而且被查不能拒絕，所以收集資訊留在

→

xoy 12/18 19:49國內是現在進行式，不是什麼幾億支不會做，只是傳

你舉的蘋果與三星的例子恰好可以說明資訊收集的氾濫並不止於中國只是中國市場夠大，有能力讓蘋果三星跪著把伺服器留在中國有個關鍵一直沒提出來，實際上在中國，電信門號是"實名制"並且綁定電子支付只要從基地台端就能分辨出封包所有者的信息壓根不用透過手機側錄上傳來確認使用者個資也完全不用去煩惱手機品牌、系統、OS版號等複雜問題所以關鍵點是電信訊號實名制，根本沒必要監控手機

→

xoy 12/18 19:49什麼回祖國而已，今天拿中國版蘋果在國外用資料應

→

xoy 12/18 19:49該一樣傳回貴州。

噓

HowLeeHi 12/18 19:57你第一段就不對了

噓

Uncontinue 12/18 20:09辛苦了

推

zsp8084 12/18 20:19總之就是信仰問題愛用就用管別人怎麼說幹嘛

推

xoy 12/18 20:31中國版手機把資料傳回中國就是監控的手段，只是要

→

xoy 12/18 20:31不要看而已。一開始我也覺得只要天羅地網夠強大用

→

xoy 12/18 20:31戶端的設備可以不理的想法很有趣，但是缺陷很多就

→

xoy 12/18 20:31如我前面的舉例,

→

xoy 12/18 20:33加上回傳資料而且落地就對了，這才相對完整。回傳

→

xoy 12/18 20:33什麼資料我不去臆測，但是機制是存在而且已經這樣

→

xoy 12/18 20:33運作

再幫你整理一下思路從根本邏輯上，"透過陸版手機側錄上傳加強監控力度" 這個策略就是無效的會買陸版手機的平民，中共並不需要加強監控而中共想加強監控的異議份子，從根本上就不會買陸版手機所以你說要透過側錄設備來加強監控的邏輯壓根不成立....

推

eythans 12/18 21:03有理有據推一個

推

kaz 12/18 21:06黑熊部隊來了

噓

opengaydoor 12/18 21:17光是前兩Q就過度簡化了

推

educk512 12/18 21:24所以美國是吃飽太閒在那邊禁止TikTok拆中國路由器？

推

banbanzon 12/18 21:41特區拉也會收集用戶隱私數據啊但為了懟車媒自媒體

→

banbanzon 12/18 21:41 把用戶隱私數據從雲端調出來公佈只有華為幹得出

→

banbanzon 12/18 21:41來

推

piyopiyolee 12/18 22:00傻了你，就跟資料存雲端本地端就不備份了嗎？兩個可

→

piyopiyolee 12/18 22:00以一起做為什麼不？

推

banbanzon 12/18 22:05用手機打個比方今天有UP主自行購買手機做測試橫評

→

banbanzon 12/18 22:05 結果成績難看讓手機廠很不服氣你要是該手機廠會

→

banbanzon 12/18 22:05如何處理?要嘛找其他自媒體也做同樣橫評要嘛聯絡

→

banbanzon 12/18 22:05UP主再送測幾台機子並找第三方機構人士做見證而大

→

banbanzon 12/18 22:05菊花的做法是把UP主自行購買的手機於測試當下及前

→

banbanzon 12/18 22:05後的狀態數據從雲端調出來公佈來質疑測試不公我

→

banbanzon 12/18 22:05就問這種做法大家接不接受得了?

電動車我不熟只大概看過新聞，似乎是UP主惡意扭曲測試結果，然後華為惱羞成怒公布後台數據這種好萊塢式的狗血劇情就不評論了XD

推

xoy 12/18 23:00上傳資料就是已知在做的事，跟是不是側錄無關，重

→

xoy 12/18 23:00點是機制是存在的，力道是可以掌握的，就像網路長

→

xoy 12/18 23:00城只要機制做好了，現在不會擋科技上網，不代表做

→

xoy 12/18 23:00不到，這都是技術面的事，預設用戶一定是誰才是安

→

xoy 12/18 23:00全系統最詭異的假設

唉...都說監控方法千百種，但要考慮執行成本這樣說吧你堅持的上傳資料定義是什麼? A.使用者與網站/app互動資料? => 這部分本來就保存在伺服器端，不用額外上傳 B.使用者詳細個資? => 回到Q1 Q2 C.使用者帳號密碼? => 有伺服器端資料，還用得著嗎? = =; 除非是只存在手機端且不與網路交互的資料，比如反清復明名單之類的XD 針對這種少數重點對象，自然會有黑客、或情報人員用社交工程去處理而不是瘋狂上傳14億台陸版手機數據，並祈禱重點對象會傻傻的用陸版手機

推

xoy 12/18 23:37我不用去定義上傳的資料是什麼，前面就說了，伺服

→

xoy 12/18 23:37器的帳密早就可以是加密過的無法單純從伺服器端解

→

xoy 12/18 23:37出，而且我一直沒說要瘋狂上傳幾億支手機的資料，

我有點混亂了@@ 推文堅持說陸版手機會不斷上傳資料的是你現在又說是我的前提? 是有什麼誤會嗎? 我的論述是只要使用者有使用中國網站/app等網路服務伺服器端就會有互動資料留存，中國政府就能夠直接獲得伺服器端的資料根本不必脫褲子放屁，再從使用者手機側錄帳號密碼解密

→

xoy 12/18 23:37這反而是你的前提。今天我不用管用中國版非中國版

→

xoy 12/18 23:37手機的是誰，需要的時候在中國長城一關只有中國版

是阿，這不就是我本文Q3、Q4的論點嗎? 只要掌握伺服器端的資料，誰管使用者是用陸版還是美版手機，政府都能監控所以跟本沒必要花費力氣監控每一隻陸版手機、額外上傳資料

→

xoy 12/18 23:37手機能用就夠了，因為機制我已經準備好，除非用衛

→

xoy 12/18 23:37星或飛鴿傳書

推

xoy 12/18 23:48這次韓國戒嚴很失敗的是掌握電視台是沒意義的，手

→

xoy 12/18 23:48機網路直播從頭就一直傳送到全世界，這種事在有準

→

xoy 12/18 23:48備的國家是不難阻止的，當然不是平常就會用到的東

→

xoy 12/18 23:48西，題外話

推

away612101 12/18 23:57談大數據，結果不談收集什麼，怎麼收集，用於何處

→

away612101 12/18 23:57然後又在資安的文扯到長城？

→

away612101 12/18 23:57邏輯蠻亂的要不要先試著請AI幫你順一下

→

away612101 12/18 23:57那我也順便提一下，加密解不回去幹嘛加

→

away612101 12/18 23:57解不回去也不需要解的叫做雜湊好嗎…

推

cpomax 12/19 00:17有人一直鬼打牆欸XDD

→

cpomax 12/19 00:19大數據收集到了，你有想過後續要怎麼處理嗎？

→

cpomax 12/19 00:19如此龐大雜亂的資料要怎麼歸類，就是個大問題了

→

Crios 12/19 00:40有些對岸的APP反而比中國手機危險

→

Pourquoi31 12/19 02:09想賺你的錢跟想要你的命還是有程度上的差異不過

→

Pourquoi31 12/19 02:09便宜治百病啦

推

APC 12/19 04:38只要 ZF 有需要，手機商還是會依當地法律迅速把後

→

APC 12/19 04:38門掰開

推

xoy 12/19 04:51伺服器端加密過的資料就靠使用者端的Key去解啊，[

→

xoy 12/19 04:51只有]伺服器端的資料看到的只是亂碼跟使用者解密成

→

xoy 12/19 04:51不成功而已。

你說的加密是指帳號密碼被加密傳輸，並與伺服器端儲存的hash值比對實際上你的個人訊息、瀏覽/訂單紀錄...等資訊在伺服器端資料庫中可能是明碼儲存(最低級)或使用其他DB權限加密負責任一點的會把個人信息DB與其他DB隔離開但並不是用使用者的帳密去加密舉個淘寶的例子，如果用"使用者帳密"加密，那淘寶後端程式怎麼幫你處理訂單? 沒有你的密鑰，怎麼在你離線時把資訊轉給廠家與物流? 又或者雙11過後馬雲大大想了解一下銷售情況沒有所有人的密鑰，系統怎麼去資料庫撈資料做客戶與銷售商品的連結分析?

推

xoy 12/19 07:05資料落地跟掌握伺服器我很認同這是很重要的控制手

→

xoy 12/19 07:05段，但只有這個是不夠的，加上電信控制也不夠，非

→

xoy 12/19 07:05中國版的設備不用裝SIM卡只要用Rand MAC上網就好了

→

xoy 12/19 07:05，要靠長城擋掉翻牆的路，非中國版的設備根本不需

→

xoy 12/19 07:05要連中國境內的伺服器

推

PRODIGALEX 12/19 07:58推邏輯清晰。

噓

WindSucker 12/19 10:39笑了

噓

ccufcc 12/19 12:00中國政府不靠手機監控加強？根本不需要手機？

推

GTR34 12/19 12:14簡單來說一堆VPN背後老闆都有中國跟美國影子

推

xoy 12/19 18:09把商業伺服器當作一切的確就是你說的，但是資料落

→

xoy 12/19 18:09地重點不是購物網站，而是放品牌用戶資料的地方，

→

xoy 12/19 18:09這種伺服器為了跟客戶推銷隱私都會強調就算原廠也

→

xoy 12/19 18:09無法不透過用戶設備讀取資料，蘋果就是最喜歡推銷

本文就是在討論由網站/手機app的伺服器資料來監控壓根沒討論你說的手機商自有伺服器喔

→

xoy 12/19 18:09這一套的，現在中國版蘋果都是雲上貴州，但是蘋果

→

xoy 12/19 18:09要是沒唬爛政府或他要取得用戶資料不可能只靠伺服

→

xoy 12/19 18:09器資料，除非中國版蘋果伺服器有藏後門給自己跟政

→

xoy 12/19 18:09府

這不好說，按道理美國制裁華為，中國卻沒反擊還好幾次讓庫克到中國造勢宣傳或許蘋果私底下已經默許中國政府取得中國區伺服器資料就跟很多翻牆VPN背後是中國政府架設一樣但這種事永遠不可能在台面上承認的:)

推

xoy 12/19 18:12蘋果之流的公司也會強調生物資訊或用戶重要特徵是

→

xoy 12/19 18:12不會傳到伺服器的，這是隱私的基本，除非中國版不

→

xoy 12/19 18:12一樣

題外話就算是美版設備，在中國境內更新時，連的也是中國區伺服器喔....

推

zerg2150 12/19 18:36邏輯清晰，感謝分享

噓

yahappy4u 12/20 01:48沒啊。你的前提是「從伺服器端監控比較方便，所以不

→

yahappy4u 12/20 01:48用再從手機端監控。」但中國有在省這個錢的嗎？維穩

→

yahappy4u 12/20 01:48費用一年多少，可以同時搜集大數據+從伺服器端監控

→

yahappy4u 12/20 01:48啊

※ 編輯: dansy (23.158.104.231 香港), 12/20/2024 21:35:06

推

Esvent 12/21 10:39為何非必要可以直接推導成不會做?想得太理所當然了

→

Esvent 12/21 10:39吧

→

Esvent 12/21 10:39兩個都做確保其中一個手段不會失效難道不是比較好

→

Esvent 12/21 10:39的做法？

同系列文章

[討論] 資安問題是不是需要認真討論一遍？

其他人也閱讀了

PTT 熱門相關