04:48 am - Tuesday 29 September 2020

穿糖衣的威脅! 中國科技產品鋪天蓋地進臺灣

週二 2014年08月12日, 9:17 下午【點此取得本文短網址】

  • 1 Comment
  • 3168 views
  • Print Print
文章來源

小米、獵豹移動、奇虎360、微信等中國品牌紛紛搶進臺灣。打著低價甚至免費的策略,找來本土明星代言,放送溫情廣告,還透過臉書強力推廣,帶起了新一波中國潮。但中國產品的資安爭議、惡性競爭疑慮也陸續在臺發酵。這是安全可食用的糖果?還是包著糖衣的威脅?

小心,越夯就越看不見的資安隱憂

以免費便宜、明星代言、強力廣告包裝的各式中國產品,正悄悄地瓦解了民眾對中國產品的提防,產品越夯,民眾越看不見爭議產品背後的資安疑慮

文/王宏仁 | 2014-08-11發表

中國產品為了進軍臺灣市場,不只採取免費或低價策略,還找來明星代言,強力透過社交網站行銷,甚至在電視強力放送廣告,試圖擺脫大陸產品的爭議形象,瓦解民眾的提防。

圖片來源:

G Data

最近一年來,臺灣吹了新一波中國產品潮,大陸公司積極以各式各樣的行銷手法,來搶攻臺灣民眾的網路眼球和臺灣媒體鎂光燈。不論電視上、臉書、各大報紙,甚至是新聞節目中都不時可以看到中國產品的蹤跡。

晚餐時間打開電視,就會看到WeChat(微信)訴諸宅男的裸女訊息廣告,或是瞄準上班族不滿老闆的草泥馬影片。登入臉書,動態牆也不時會跳出知名 藝人庾澄慶代言的奇虎360資安產品推薦,以安心、好用、便利的訴求搶市場。或像是獵豹移動產品臺灣臉書專頁,日日搭配可愛玩偶單格漫畫,鎖定熱門議題來 炒熱粉絲團熱度。

而小米手機則以發燒潮品的包裝,在臺舉粉絲聚會、社群推廣、舉辦大規模上市活動等而引起話題,甚至連虛報銷量遭罰消息,也引起各大新聞媒體報導,反而成了另一波行銷廣告。

中國業者多位執行長也陸續到臺灣,以成功創業家之姿在臺塑造明星形象,不只行銷產品也培養在臺的品牌信賴感。如獵豹移動執行長傅盛日前來臺時,就以 搶人才、投資無上限的話題,上了各大媒體版面,小米手機董事長雷軍也飛到臺灣坐鎮上市活動,以中國賈伯斯稱號來臺與米粉見面,一舉一動都會受到米粉們競相 討論拍照,彷彿是明星一般。

尤其是身分敏感的大陸資安產品進軍臺灣市場時,更是善用各種包裝手法來翻新形象,避免和大陸產品的爭議形象串連。例如早一步來臺的大陸防毒軟體奇虎360不只以免費號召,更透過明星代言在電視廣告時段宣傳,並找來熟悉臺灣軟體市場的臺灣手機遊戲公司創辦人負責臺灣業務。

而晚一步的獵豹移動,則是避用在大陸引起不少爭議的金山網絡名號,而改以美國上市公司名義來臺,也找來老牌公關公司操刀,聘用本地媒體記者擔任公 關,先以產品Clean Master為名的CM Security安全實驗室名義,趕搭簡訊病毒話題發布調查報告,只在報告最後簡介中才簡單提及獵豹移動。獵豹移動也是打著永久免費服務,搭配社交網路媒 體推廣策略來臺搶市場,甚至還鎖定開發社群,例如贊助臺灣最大開源年會COSCUP,也提供Wi-Fi產品試用來獲取開發社群的青睞。

但是,中國產品引發的資安爭議一直未曾停歇,今年更傳出多起中國製的裝置產品有問題,例如資安業者TrapX發現有一中國業者所製造的手持式產品掃 描器含有惡意程式Zombie Zero,專門鎖定物流與運輸業者,除了會暗中將產品條碼資訊傳送到遠端伺服器外,還能植入後門讓駭客竊取企業機密資訊。

德國安全業者G Data也發現了一款由中國手機業者天星(Star)公司生產的Android智慧型手機Star N9500,出廠即內建了間諜程式,會暗中植入木馬來竊取個資、截聽電子郵件和私人簡訊甚至遠端控制手機相機。

儘管問題產品不一定在臺灣上市,但是連當紅的小米手機也傳出爭議,使用者爆料小米手機暗中回傳用戶資料到北京伺服器而遭質疑。中國出產的裝置仍存有不少資安疑慮。

不只裝置有爭議,大陸公司提供的服務也曾引發爭議,例如去年底,WeChat母公司騰訊遭使用者質疑,側錄及蒐集了用戶的通訊內容來進行大資料分析而引發爭議。

因為中國政府為了管制網路言論而對所有網站、通訊相關服務都進行內容過濾,WeChat或是獵豹移動、奇虎360旗下各式App產品的服務主機大多設置在中國,這些雲端服務、手機App上的資料需回傳到中國的伺服器,合理可推論也會受到中國政府的監聽和過濾。

中國政府以強勢威權的治理方式,更讓各國對中國法治制度缺乏信心,像交通大學資訊工程學系特聘教授林盈達就認為:「中國政府向中國企業索取使用者資料,沒有要不到的。」

隨著中國產品鋪天蓋地進臺灣後,攻佔民眾手機、電腦,甚是企業辦公室內的平板、筆電之後,中國政府更有機會能取得那些回傳到大陸伺服器上的臺灣使用者資料,甚至更容易能透過各式裝置作為跳板進入企業IT環境,民眾家庭生活甚至是政府機構內網。

儘管中國不是唯一想要監控網際網路的國家,史諾登事件也證實了美國處心積慮地想要監控全世界。但是,當中國對臺灣仍舊是保持政治敵意的態度,這些行銷手法、廣告包裝,讓資安意識不若資安專家的一般民眾,輕忽了可能的風險,也更看不見可能的資安風險和威脅。

中國產品為了進軍臺灣市場,不只採取免費或低價策略,還找來明星代言,強力透過社交網站行銷,甚至在電視強力放送廣告,試圖擺脫大陸產品的爭議形象,瓦解民眾的提防。

大陸產品近年資安爭議

2014年7月 

中國製手持掃描器內含惡意程式,殃及多家物流業者

資安業者TrapX發現有一中國業者所製造的手持式產品掃描器含有惡意程式Zombie Zero,被安裝在採用嵌入式平臺的手持掃描器中,除了可將產品訊息傳送到遠端伺服器外,也能植入後門讓駭客存取企業的機密資訊。

TrapX懷疑這是一個由國家贊助的攻擊,鎖定的是物流與運輸產業。不過,TrapX並未揭露該掃描器製造商的名稱,僅透露該製造商位於山東,該製造商亦否認知道產品中有惡意程式的存在。

2014年7月 

紅米Note手機暗中傳送資料至中國伺服器

日前傳出紅米Note手機會在背地裡傳送資料至中國伺服器,引發竊取資安疑慮。網路討論區IMA Mobile,評策者Kenny Li發現紅米NOTE手機,會在沒有知會使用者的情況下,背地傳送使用者的資料到中國,疑似對用戶進行「審核」及「遠端備份」,包括照片、瀏覽過的網頁 等。此外,Kenny Li發現,就算把小米內建軟體移除並重刷其他版本的軔體,傳送情形也依然存在。

2014年7月 

大陸影音串流App頻傳內建木馬程式

網路安全公司Nexusguard表示,多個大陸影音多媒體 App也被內建了木馬,如PPTV、PPS 影音、優酷視頻、風行視頻4個 Android 版的 App 均內建了「Android.Spy.origin.83」的木馬程式,而許多駭客則可透過這支木馬來安裝更具破壞力的惡意程式。如Nexusguard的 專家只要 5 分鐘就可以侵入手機,開啟手機的照片,甚至還可以啟用相機與麥克風功能,全程透過手機監看監聽。

 2014年6月 

德國發現大陸手機出廠就內建間諜程式

德國安全業者G Data發現,中國手機業者天星(Star)公司所生產的Android智慧型手機Star N9500,出廠即內建了間諜程式。這隻程式會偷偷將使用者個人資料傳送到位於中國的伺服器,並暗中再安裝另一項應用來竊取個資、截聽通訊及網路銀行資 料、讀取電子郵件和私人簡訊內容,或是遠端控制手機相機或麥克風。(照片提供/G Data)

2013年底 

WeChat用戶對話內容遭監控與過濾

中國政府為了管制網路言論,要求大陸所有的網站都必須辦理電信與資訊業務許可證,而且還要求所有社群、網站或是相關服務,都必須進行內容過濾。

像WeChat這類將服務主機設置在中國的即時通訊軟體當然也不例外。去年底,WeChat母公司騰訊公司更遭質疑,暗中側錄及蒐集使用者的通訊內容來進行大資料分析而引發爭議。

更早之前,則有一位香港民運人士胡佳爆料,與友人在WeChat上的私人對話,遭中國保安監控側錄,成為審問內容。

中國App惡質競爭延燒海外 老總坦言無法保證捍衛用戶資料

歐美市場開始出現中國App惡質行為,獵豹移動總經理傅盛坦言,中國市場競爭激烈而用了許多不能用的手法,但他無法保證未來不提供用戶資料給中國政府

文/胡瑋佳 | 2014-08-11發表

20140812205817

資安網站Naked Security網站於2014年4月揭露,Clean Master告知民眾受到病毒侵襲,而需要按OK加以掃毒,但其實掃毒是假的,直接幫使用者下載Clean Master才是真的。

圖片來源:
Naked Security

中國為一黨專政的威權國家,中國共產黨為了將全國人民納入其管控範圍,進行嚴密的網路監控,加上中國在政治上和臺灣處於緊張關係,根據趨勢科技這幾年來的觀察,中國政府已經透過默默地蒐集資料,全面監控臺灣重點人員,也就是以「情蒐為主,但不破壞。」

臺灣趨勢科技總經理洪偉淦表示,中國政府的網軍也已經開始鎖定高科技產業的研發部門與金融產業發動攻擊,其他也會鎖定與政府有生意往來的企業和媒體等,作為中國網軍主要情蒐的對象,目前中國情蒐已經到了「遍地開花」的地步了。

中國政府不僅透過網軍蒐集臺灣人的情資,中國小米公司與資安公司如奇虎360、獵豹移動,也紛紛於今年進軍臺灣,由於手機與防毒軟體業者與手機系統 的底層結合非常深,因此很容易能取得使用者資料。交通大學資訊工程學系特聘教授林盈達表示,以中國政府無所不用其極地蒐集臺灣人的資料的情況來說,「這就 是一個現代版的木馬屠城行為,越來越多臺灣人使用中國IT產品,方便中國政府行掌控臺灣政局與社會之實。」

獵豹移動與奇虎360皆用流氓行為擴大中國市占率

中國資安產品不論在中國或是全世界,擁有廣大的使用者,若是以個別Apps下載量來看,目前獵豹移動的免費手機清理工具Clean Master超越Line和Instagram,成為全球Google Play下載量第四大的App,僅次於WhatsApp Messenger、Facebook和Facebook Messenger。

不論是奇虎360或是獵豹移動,都是以「免費」來打響品牌名號,所有的防毒App皆供免費下載,另外,也順勢免費推出瀏覽器與遊戲等,形成一個完整的產業鏈,以鞏固使用者的使用習慣。從商業模式來看,獵豹移動與奇虎360以免費獲取廣大的用戶,但是,也伴隨了很多爭議。

舉例來說,2013年9月27日,小米公司突然將奇虎360全部App從小米應用商店下架,理由是因為360手機助手在沒有提出任何原因的情況下向使用者建議移除小米應用商店、百度地圖等其他的應用程式。

隨後,2013年9月底,360手機助手,也誘導使用者移除華為、三星、聯想等多家手機商的App,上述業者為了反制奇虎360的誘導行為,紛紛在各自的應用商店中,下架奇虎360所有的產品。

獵豹移動是奇虎360在中國最大的競爭對手,也和奇虎360展開一連串商業競爭,如在今年6月初,獵豹移動控告奇虎360抄襲手機清理功能,2014年2月,奇虎360控告用戶在安裝金山毒霸時,會有視窗彈出,誘導使用者卸載360殺毒等軟體。

諸如此惡意競爭的情況不勝枚舉,獵豹移動總經理傅盛來臺宣傳也不諱言,中國網路公司間由於面臨激烈競爭,使用了相當多「不能用」的競爭手法,其激烈程度如臺灣打選戰。但是,傅盛並未說明惡意競爭等商業手法,是否會用於海外市場。

不過,今年4月,美國資安網站就披露了獵豹移動開始在海外市場的App中採取惡意競爭手法。Sophos旗下的資安網站Naked Security於2014年4月4日在官網揭露,獵豹移動旗下的App清理大師Clean Master在App中會警告民眾受到手機病毒侵襲,可以按下OK按鈕來掃毒,但是,Naked Security表示,其實掃毒動作是假的,直接幫使用者下載Clean Master才是真的。

另外,Seekingalpha網站披露今年7月中旬也發生了獵豹移動也因為誘導使用者刪除競爭對手合法的應用程式,如Google Chrome、360衛士、360瀏覽器與Opera Mini等,被Google排除在全球Google Play排行榜,但App產品Clean Master並未被下架。負責獵豹移動在臺公關窗口的臺灣雪豹科技公關經理趙郁竹,於8月5日證實了獵豹移動產品Clean Master遭移除於排行榜的消息,但她表示,北京總部未告知原因。

Sophos臺灣區技術經理詹鴻基表示,由於Google會審核每一個App的權限是否適當,如導航軟體不適宜加開照相機的權限等。當初獵豹移動要 將清理大師上架到Google Play時,僅有告知Google需要用到清理手機內垃圾資料的權限,非為惡意行為,因此通過Google審核。

不過,獵豹移動提交審核時,並未告知Google,已在清理大師中加入誘導使用者移除其他應用程式的功能,以降低其他App的市占率,等同於「流氓 行為」。詹鴻基表示,獵豹移動藉由告知使用者,因為Google Chrome會耗費太多記憶體,而建議使用者移除Google Chrome,以誘導使用者下載獵豹移動其他的軟體,也就是「獵豹移動假防毒之名,行營利之實」他說。

直到8月6日,也就是除名事件發生兩個多禮拜之後,Clean Master才又回到Google Play排行榜中,獵豹移動也於2014年8月6日發布官方聲明表示,因為合作的海外廣告通路商未經許可擅自使用沒有「取消」按鈕的廣告素材在海外進行推 廣,因此遭Google暫時隱藏了Clean Master排名。

不過,獵豹移動並未說明,詹鴻基提及的誘導使用者惡質競爭行為,是否造成被Google下架的原因。但在8月5日更新改版的Clean Master App中已經沒有看到這樣假藉掃毒下載軟體的做法,而是改成邀請使用者上Google Play按星等推薦的機制。

據App Annie的統計顯示,2014年7月15日Clean Master被移除於Google Play排行榜後,Clean Master的每日下載量,從約80萬次下降至不到10萬次,降幅達到87.5%。不過,獵豹移動官方宣稱,遭到Google下架期間,Clean Master的安裝量並未受到太大的影響。

洪偉淦表示,由於Google Play的上架政策是「先上架、後審查」,目前也會針對下載量比較大的App進行更為詳細的審查,Google一旦發現有惡意行為,或者是從事不應該從事的商業行為,Google都會將此App下架。

中國App因惡意行為或違規行為遭App平臺下架或除名的情況時有所聞。除了這次獵豹移動清理大師除名事件之外,先前,奇虎360也曾在一年內被蘋 果從App Store下架兩次,2012年2月6日下午,奇虎360在App Store上7款App,如360手機衛士、360瀏覽器HD、360團購HD、360團購導航、360口信、360電池醫生、360安全備份等,被蘋果 從App Store下架,直至2012年2月8日上午,所有的App才重新上架。

2013年2月28日,在360媒體開放日中,奇虎360董事長周鴻禕表示,由於在iOS系統中,蘋果所開放的資源不允許奇虎360推出攔截電話、 騷擾短信和省電等功能,其效果與Android版本相去甚遠。因此,360先開發了功能更強大的越獄版,發布於91助手上,隨後,又利用企業帳號發佈了越 權產品,觸犯了蘋果的開發者規範:「在App Store以外的市場為使用者提供了產品。」

來到2013年1月4日,奇虎360旗下包括360安全衛士、瀏覽器、安全備份等應用程式,再次被蘋果下架,直至2月4日,奇虎360在官方微博僅 表示:「此次奇虎360相關的產品下架,與360手機衛士企業版違反蘋果相關規則有關。」至2014年3月5日,奇虎360的相關產品才又再次上架。

詹鴻基表示,市面上這些「流氓行為」App屢見不鮮,是因為這也是一種獲利方式。舉例來說,當民眾安裝某款遊戲App後,遊戲開發商會在使用者不知 情的狀況下,發送簡訊到國外去,以賺取發送簡訊過程中,所產生的價差費用。舉例來說,若一封簡訊計價15元,由中華電信與AT&T拆帳,而 AT&T獲得其中5元,遊戲開發商就可以和AT&T協商,原先發10封簡訊,要付給AT&T 5元,現在若發1萬封,則付4元,其中的1元,就成為遊戲開發商的利潤來源。

2013年中國達34.5%的應用程式,截取使用者資料

以中國整體App市場來看,由於商業競爭激烈,若沒有特別手段,更難以勝出,產生出許多「流氓行為」,舉例來說,奇虎360就會在使用者下載奇虎360的防毒軟體時,同時再暗中為使用者下載其他的軟體,如360瀏覽器、360導航等。

另外,中國App開發商也會擴大應有的權限,而獲取手機用戶的個人資料,中國網路資料中心DCCI在《2013移動隱私安全評測報告》指出,調查中 國各類Android市場下載量前1,400位的應用程式後發現,目前在中國,高達34.5%的智慧型手機應用程式含有「隱私越軌」行為。

許多App除了提供新功能所需權限和資料之外,還獲取手機用戶的包括簡訊紀錄、通話紀錄、通訊錄在內的敏感個人資訊。而「允許讀取聯絡人訊息」在獲 取用戶隱私訊息的主要類型中排名第二,占21.2%,也就是說,38%的具有該權限的應用其功能實際上與用戶通訊錄完全沒有關係。

洪偉淦表示,一些來自中國軟體、App或者硬體公司,為了做到「精準行銷」,的確會更積極的客戶行為蒐集與分析,也就是說,當使用者回傳檔案時,中 國軟體、App或硬體廠商,可能會在背後分析回傳的檔案內容或行為,以利做到更精準的廣告投放。因此,難以避免地,獵豹移動與奇虎360等中國資安公司也 遭質疑會竊取使用者資料。

獵豹移動不保證能捍衛用戶資料,不給中國政府

不過,若在民主國家,若政府要向網路企業索取使用者資料,還必須經過法定程序。但是,若中國政府向中國企業索取使用者資料,在沒有法治基礎的情況 下,如同交通大學資訊工程學系特聘教授林盈達表示:「中國政府向中國企業索取使用者資料,沒有要不到的」導致許多臺灣民眾對於使用中國IT產品缺乏信心。

日前傅盛來臺時,iThome記者問他,能否保證不將使用者資料回傳給中國政府,傅盛僅表示:「目前為止,獵豹移動不在中國政府的監控之下,不過如果中國政府要求送交使用者資料就是另外一回事。」他也很坦白地承認無法做出這樣的保證。

臺灣駭客圈中,一位不願具名的工程師表示,中國長期以來為了要獲取利益,原先就比較不重視個人隱私,另外,不僅臺灣和中國的處於政治對立狀態,且中國政府可以深入掌控企業運作方式,如果中國資安公司讓中國政府取得臺灣使用者的個人資料,就會對臺灣產生很大的資安風險。

臺灣趨勢總經理洪偉淦也表示,因為資安軟體和公司系統的底層結合非常深,中國資安公司非常輕易就可截取臺灣使用者的資訊,幾乎沒有無法取得的資料。另一方面,如果視中國為值得信賴的國家,雖然執行防毒軟體會截取使用者資料,但不會引起廣泛的疑慮。

儘管,為了要消除臺灣人的資安疑慮,中國資安公司奇虎360還透過臺灣代理商希悅資訊宣稱,一切臺灣使用者的資料都是與中國方面分開,臺灣擁有自己小規模的中文化技術團隊、機器機房與服務。

不過,洪偉淦認為,除非中國資安公司的代理商能在臺灣自行研發核心技術,不然,不可避免地一定要將使用者資料傳回原廠,不太可能和原廠的後端系統毫無瓜葛。

洪偉淦舉例,趨勢自己就是會將使用者的病毒的記錄檔傳回總部,也就是當使用者瀏覽網頁時,為了要知道此網頁是否有害,一定要到回到雲端查詢,以隨時知道內容是否有害。

面對資安疑慮,政府尚未有積極防範做法

不過,雖然臺灣已經面臨中國資安公司入侵所產生的潛在資安風險,但是,臺灣駭客圈某位工程師表示,為了防止未來可能產生的資安問題,目前就要靠政府規定,盡量移除中國的軟體。不過,洪偉淦表示,目前在政府方面,尚未看到積極的做法。

警察大學前兼任教授林宜隆表示,目前政府,只透過行政命令規定重要的政府單位,不要使用有資安風險的App,而無法管制民眾下載中國可能具有資安風險的軟體。文⊙胡瑋佳、黃彥棻

獵豹移動總經理傅盛表示:「中國網路公司間由於面臨激烈競爭,使用了相當多『不能用』的競爭手法。另外,如果中國政府要求送交使用者資料,那就是另外一回事。」

學者警告:中國政府能強索陸商客戶資料 臺灣政府有責揭露黑心App

在對中國政府瀰漫不信任感的情況下,多位臺灣學者紛紛跳出來呼籲臺灣人注意越來越嚴峻的資安問題

文/胡瑋佳 | 2014-08-11發表

成功大學電機工程學系教授李忠憲(圖左)表示:「臺灣政府應建立嚴密的資安架構組織,以擬定與執行資安政策與進行風險評估。」而交通大學資訊工程學系特聘教授林盈達(圖右)則說:「中國一黨專政而缺乏法治,中國政府向中國企業索取使用者資料,沒有要不到的。」

圖片來源:

(圖左)照片提供:李忠憲

不少臺灣人還是對中國防毒軟體存有資安疑慮,主要由於中共做為一黨專政的威權政體,缺乏法治基礎。因此,在中國法律體制下,民眾根本無法得知,如被判定侵權的人是否真的侵權,也不可能知道這家企業被認定違背反壟斷法,是否真的違法。

在對中國政府瀰漫不信任感的情況下,多位臺灣學者紛紛跳出來呼籲臺灣人注意越來越嚴峻的資安問題。

若臺灣政經領袖資料遭竊,恐影響臺灣政局

中國政府不但軍事上,於中國沿海部署多個飛彈對準臺灣,另外也制定《反分裂國家法》,成功大學電機工程學系教授李忠憲表示,中國政府這些作為的目的 都是要將臺灣納入中國的版圖。如果中國政府基於統戰意圖,為監控臺灣政局與民眾,要求中國資安公司提供臺灣使用者資料,中國企業就必須提供。

李忠憲表示,若中國政府掌握臺灣政治人物的通話紀錄等,如果其中隱含不法行為,中國政府就可以拿此資料,以要脅甚至控制臺灣政治人物,藉以左右臺灣政局。

交通大學資訊工程學系特聘教授林盈達也說,中國政府最想要掌控的就是政治人物、意見領袖與社會菁英等,其中政治人物不分藍綠都會遭殃,到時中國政府就可藉掌握敏感資訊,以要脅立委與政府官員配合其意向施政,這將成為臺灣人的災難。

中國政府向中國企業沒有要不到的資料

此外,林盈達表示,由於中國政府為威權國家,以一黨專政而缺乏法治,像今年7月底,中國政府就以反壟斷為由,查扣微軟的企業內部資料。

林盈達表示,中國政府的目的其實在於限縮微軟在中國的市場占有率,中國政府為了反制美國政府不讓華為的設備進入電信部門,就限縮微軟在中國的市場占有率,藉以扶植中國企業。

此外,林盈達表示,已有中國防毒軟體本身就是病毒,會竊取用戶資料的例子,例如,用戶在不知情的情況下,安裝了以為是幫助殺毒的奇虎360的防毒軟體,實際上是將自己暴露在被監控的危險情況下,而資安公司就變成「保全本身就是歹徒」。

德國安全業者也在近期發現,中國Star手機業者,會在預先安裝的App中,植入後門程式,將資料傳回中國的伺服器,另外,目前紅米機也被發現有將 使用者資料回傳到中國的情況。當中國公司以多種手法獲得使用者資料後,若中國政府要求資安公司將使用者資料回傳給中國政府,林盈達表示,「中國政府向中國 企業索取使用者資料,沒有要不到的。」

而在民主國家如臺灣與美國等,若要查扣企業的內部資料,需要拿到法院的搜索票,才可以進行搜索,而中國政府無需拿到搜索票,才能搜索,也就是「中國政府可以為所欲為」他說。

哪些中國App有資安爭議?政府應告知大眾

面對上述一系列的資安問題,林盈達表示,臺灣政府應該要介入調查,不應該讓這些App進入公部門,但企業使用而言,若臺灣企業推薦用戶使用中國防毒App,臺灣政府應該提醒用戶,哪些中國App會產生資安疑慮。

另外,李忠憲建議臺灣政府應建立一個嚴密的資安架構組織,負責擬定與執行資安政策與進行風險評估,另外需要設置一位實質上的負責人,而不是依照案件型態來決定由誰負責,李忠憲表示,「否則每次發生資安事件時,都不知道要和誰對話。」

中國黑心軟體攻臺,政府怎能放任

中國惡名昭彰的軟體挾大量精心策畫的行銷包裝攻占臺灣,許多人在缺乏資安意識的情況下,很容易就安裝來路不明的軟體,然而卻不見政府積極為人民的安全把關

文/吳其勳 | 2014-08-11發表

今年5月我收到一封由CM Security安全實驗室發布的手機簡訊安全新聞稿,這封新聞稿是由知名的外商公關公司代為發送,文中指出CM Security是由Cheetah Mobile公司所開發的資安App,並且強調該公司已在紐約證券交易所上市。

這份新聞稿的內容一開始讓我以為是一家外商資安公司,進一步查證才知道原來Cheetah Mobile就是中國的獵豹移動,其前身為金山網絡,在今年3月更名,並且在紐交所上市。然而為何這篇新聞稿絲毫不提及中國,引起了我的注意。

隨後我詢問也收到該封新聞稿的編輯部同仁,他趕緊打開手機裏的「Clean Master」App,這是一個由Cheetah Mobile出品的手機程式管理工具,此時他才恍然大悟,原來他早就跟中國軟體共存好一段時間了。

我這位同事非常清楚中國一些流氓軟體惡名昭彰的事蹟,他曾經因為必須跟中國的朋友通訊,而不得不安裝中國的即時通訊軟體,然而在事情談妥之後,他要 移除該軟體,則費了好大功夫,才把這個軟體移除掉。顯然軟體設計者千方百計不要讓使用者移除軟體,而且,看似移除掉了,其實也不太確定是否還隱藏著其他無 法移除的程式。

這倒不是說中國的軟體全部都有問題,然而這些經驗讓他知道有一些中國軟體可是不懷好意,盡量離中國軟體遠一點比較好。但是,即便他已經對中國的軟體 有所警覺,但還是不知覺安裝了Clean Master這個中國的手機工具軟體。究其原因,如果他知道要安裝的App是名為獵豹移動清理大師,那他就會意識到是中國軟體,然而,Cheetah Mobile Clean Master這樣讓人誤以為是外商產品的行銷包裝手法,則成功地讓他在毫無戒心的情況下安裝了。

果不其然,7月中旬Google將Clean Master從Google Play排行榜撤除,資安專家發現Clean Master會引誘使用者刪除其競爭對手的App,包括多款瀏覽器與工具軟體。在此之前,資安公司Sophos則發現Clean Master會有廣告警告使用者其手機有病毒,藉由提供使用者進一步的掃毒,而安裝旗下的防毒App。如果使用者的手機果真中毒,那麼這還算是貼心服務, 然而Sophos卻發現Clean Master根本是欺騙使用者中毒,藉此增加其防毒App的市占率。以此行徑推敲,難保這個防毒App安裝之後,不會又暗地做些見不得人的事。

上述問題並非只發生在獵豹移動,許多中國軟體、網站在惡意競爭下早已經是常態的作為。更為人所知的就是奇虎360,而奇虎360早在去年就進臺灣 了。近期在臉書上時常看到臺灣360安全衛士大打廣告,以360安全衛士加上臺灣兩字,廣告更找來臺灣知名藝人代言,強調免費、信任,不知情的人可不容易 分辨其為中國軟體。

這些如果只發生在中國,那我們大可管不著,但是,今日這些中國惡名昭彰的軟體挾大量精心策畫的行銷包裝攻占臺灣,會讓許多民眾誤信。尤其是現在幾乎 是人手一支智慧型手機,許多人在缺乏資安意識的情況下,很容易就安裝來路不明的軟體。而中國當今仍與我們處於敵對關係,處心積慮竊取臺灣的機密資料,難保 人民的資料會因此被中國所掌握。

事實上,獵豹移動執行長坦承用戶資料會儲存於中國的主機,iThome記者問他:能否保證不把使用者資料交給中國政府,他則坦白承認無法做此保證。

其實,不只是軟體,中國的硬體產品也有諸多問題。資安專家就發現中國天星的Star N9500手機暗藏間諜程式,亦有資安專家發現小米的紅米手機有不尋常的頻繁資料傳送行為。

中國黑心軟體、硬體,歷歷在目,然而卻不見政府積極為人民的安全把關。有關單位雖然已開始成立App檢測,但這不只是App的問題而已,而且政府也 不能只著眼於只為機關的資安把關,因為這已經是跟普羅大眾習習相關的國家安全問題,政府早就應該大聲疾呼,提升人民的資安意識與警覺性。除非,政府不認為 資安等同於國安。

  • 1 Comment
  • 1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
    Loading...
  • 3168 views

1 Comment

Comments -49 - 0 of 1First« PrevNext »Last
  1. 用中國的軟體 = 自殺!

Comments -49 - 0 of 1First« PrevNext »Last

Leave a Reply