以美國為首,加上日本、歐盟政府,因擔心中國利用新科技從事間諜活動,下令禁用華為5G設備;而台灣日前也宣布政府機關禁用中資3C產品。但是卻先在產、學界先引發一波論戰,包括有認為手機商可以輕易蒐集個資的科技公司執行長林宜敬,和認為歐美是防堵5G設備的產業壟斷而非保護個資的文化大學競爭力研究中心主任杜紫宸。
林宜敬連續兩天在個人臉書發文講述手機廠商如何在用戶不知道的情況下蒐集個資,今天(29日)以「如何找到杜先生的朋友David?」為題做了淺白、完整的狀況推擬。林宜敬假設的題目為「H牌手機廠商,想要知道杜O宸先生手機上的那位David究竟是誰?」然後列舉「進階持續性威脅(APT)」9個步驟,表示全部完成後會連「David是不是有小三,他的小三的電話號碼跟三圍都可以知道」。
林宜敬所列的9個步驟如下:
1.首先,我們會發出一個廣播訊息,要求所有的繁中版H牌手機都下載一段「更新程式」。
2.這段下載的更新程式中,包含了幾行程式碼,會去檢查那一台手機上的通訊錄當中,是否有「杜O宸」的手機電話?如果發現了,就把包含那個手機電話號碼的通訊錄條目上傳到總公司的研究部門。這段程式在執行完畢之後,就自動把自己刪除掉,不要留下任何痕跡。
3.由於同名同姓的人很多,所以H公司的研究部門會收到上千條、或甚至上萬條關於「杜O宸」的通訊錄條目,但是我們稍加比對之後就會發現,有許多關於「杜O宸」先生的通訊錄條目,包含了「工研院」這個關鍵字,而且它們都是指到同一支手機號碼。於是我們就可以合理判斷,那個手機電話號碼就是杜先生的。
4.我們再發出第二個廣播訊息,要求所有的繁中版的H牌手機另外下載一段「更新程式」。
5.這段下載的更新程式中,包含了幾行程式碼,會去檢查那一台手機的電話號碼是不是跟杜先生的手機號碼相同?如果相同,就去他的通訊錄當中,把所有標示為“David”的通訊錄條目都上傳到總公司的研發部門。同樣的,這段程式在執行完畢之後,就自動把自己刪除掉,不要留下任何痕跡。於是我們就有了杜先生手機上的David的電話號碼。
6.我們再發出第三個廣播訊息,要求所有的繁中版的H牌手機另外下載一段「更新程式」。
7.這段下載的更新程式中,包含了幾行程式碼,會去檢查那一台手機上的通訊錄當中,是否有David的手機電話號碼?如果發現了,就把包含那個手機電話號碼的通訊錄條目上傳到總公司的研究部門。同樣的,這段程式在執行完畢之後,就自動把自己刪除掉,不要留下任何痕跡。
8.於是我們會蒐集到上千條、或甚至上萬條關於David這個人的通訊錄條目。稍加整理之後,我們就可以知道他的真實姓名是什麼?在哪裡上班?家裡的住址在哪裡。
9.歐,不能再寫下去了。再寫下去的話,我們連David是不是有小三,他的小三的電話號碼跟三圍都可以知道。
林宜敬文末強調「我根本就沒有當過駭客。我在這邊所寫的方法,都是我憑空想像出來的,手段粗淺,恐怕會被真正的高手笑」;表示用反覆的「更新程式」、「交叉比對」,就可以找出想知道的細節。由此說明手機商可以輕易蒐集個資、情資,也可能危及國安。而文中所舉例的「杜O宸」,就是持不同立場的杜紫宸。
杜紫宸26日曾在臉書發文:「坦白說,要不是今天看了張善政先生網頁,Google了一下,我壓根没聽過CIH Software Magician這個詞。Never heard.」「這很稀奇嗎?當然不。杜紫宸30年前幹過什麽偉大的事,你會知道嗎?你需要知道嗎?當然不需要。」「1983年我的碩士論文“台灣區金融業計算機安全政策之研究”是全台第一篇探討Computer Security Policy的論文。那個時候CIH應該唸幼稚園吧?」但這篇文字29日已在個人臉書下架了。
所謂的「CIH Software Magician」是指一名台灣的電腦駭客工程師,在1998年製作出「CIH病毒」,該病毒體積小,會自行改變程式碼分布,潛藏在檔案未使用的空白區,檔案大小不會改變,因此不易被察覺而大量被散布。也就是如林宜敬所說在更新程式中所「包含了幾行程式碼」,將可能造成無比的損害。
杜紫宸在刪除26日PO文之後,臉書上還留有另兩篇相關的文字。一篇是「蔡英文政府和理盲網民,一直都把馮京當成馬涼。美國川普政府“敦促”友邦幾國防堵的,是華為5G標準和電信設備,其實4G手機根本不在各國禁止使用之列。台灣在這件事上的解讀,可是先天下之憂而憂,高居世界第一。」另一篇是「假設2020/2021年,中國大陸發布自己的5G標準,但歐美澳日聯盟刻意採用另外一種技術標準。請問:1.高通、英特爾、蘋果産品,會不會支援中國標準?2.聯發科、華碩、三星,要不要支援中國5G標準?」完全著眼於5G規格所可能產生的產業壟斷問題。
林宜敬臉書「舉例」說明手機公司如何蒐羅用戶個人資料。 圖:翻攝林宜敬臉書
杜紫宸臉書PO文著眼於5G規格所可能產生的產業壟斷問題。 圖:翻攝杜紫宸臉書