小米手机暴露资安风险 疑助中共实施境外数字监控
小米手机暴露资安风险 疑助中共实施境外数字监控 https://t.co/D64BLshrd4
— 美国之音中文网 (@VOAChinese) January 14, 2022
台湾的通讯监管机构国家通讯传播委员会(NCC)近期公布,小米一款5G手机内建的七个APP,有自动审查两千多个“政治敏感词汇”的功能,也具有阻绝连网或将相关浏览记录回传的疑虑。尽管小米公司否认并强调不会限制用户的个人行为。但专家表示,中共透过中企在境内所建构的数字监控网早就不是秘密,现在遭监控的对象恐已扩及到海外华人。手机监控的个人资讯若被回传中国,未来可能成为中共起诉或构陷民众的铁证。
台湾的国家通讯传播委员会(NCC)1月6日公布一份智能手机内建软件的资安抽测报告,其中2020年下半年五款销售量较高的中国厂牌手机皆未通过初测,后经改善后才通过复测。2021年上半年送测的十款不同厂牌手机,仅有美国品牌Apple iPhone 12通过资安要求,其中在台湾销售的小米10T 5G手机被发现部分内建软件具有政治敏感词汇的自动审查功能,且恐有资讯回传的疑虑。
中共审查“敏感字眼”?
此款小米10T 5G手机发布于2020年9月底,在全球已销售一年多。去年9月底,立陶宛国家网络安全中心(NCSC)揭露,该手机的欧洲版机种所内建的软件具有文字审查功能,因此呼吁全民弃用中国手机,也引发各国安全部门开始对小米手机展开调查。
台湾NCC去年10月委请电信技术中心(TTC)检测在台销售的小米同款手机后发现,其内建的七个应用软件,包括个性主题、音乐、软件包安装程序、手机管家、垃圾清理、下载管理及小米视频,会从特定服务器(globalapi.ad.xiaomi.com)下载一份“黑名单”比对档案,并针对“自由西藏”、“台湾独立”、“香港独立媒体”、“六四事件”、“蔡英文”等两千多个政治、社会、宗教等北京所认同的“敏感字眼”进行自动审查。
各厂牌手机对涉及使用者隐私资讯时,通常提供设定开启或关闭功能之选择,但此款小米手机并未提供此功能,等于任由小米决定对这些隐私资讯的处置。根据中华人民共和国国家情报法第十四条,中国人民、企业有支持、协助和配合国家情报工作之义务。因此,分析人士说,小米很难避免扮演中国政府数字监控的协助角色。
台湾NCC也认为,小米手机有将使用者隐私回传中国之疑虑,恐侵害到台湾使用者的个资或隐私。
中共“扩张性”的数位监控
位于台北的国防安全研究院网络安全与决策推演研究所助理研究员曾怡硕表示,数字监控用在商业界,以搜集商业情报、分析大数据的情形相当普遍,但值得注意的是,小米加入了许多政治性特殊敏感字眼的审查和监控,基于小米的使用者遍及世界各地,恐侵害到海外用户,包括自由地区华人的资讯权。
曾怡硕告诉美国之音:“中国式的数位监控构成数位威权主义很重要的一部分,这个监控是任何上网的,用到的手机内容里面不应该出现,它(中共)所认定的这些敏感字眼。但是问题是,它(中共)的数位字威权、数位字监控,以这样一个做法来看的话,变成是扩张到不只是对境内,因为以它的数位字主权或者网络主权来看,跟欧盟的数位字主权是完全背道而驰的。”
中共于去年3月推出一款“国家反诈骗中心App”,就曾被怀疑是监控软件,对此软件,小米曾于官方微博辟谣说:其手机“没有内建“国家监控中心App”,被广大网民取笑为此地无银三百两,反而将“反诈骗中心”与中共的监控划上等号。部分网民也分享经验,表示安装该应用程式后,只要浏览海外网站或安装VPN等翻墙软件,很快就会有警察找上门。
曾怡硕指出,2020年加拿大多伦多大学“公民实验室” (Citizen Lab)曾发布报告揭露,中国最大、月活跃用户达12.25亿的通讯软件微信,会以“关键词名单”来审查中国用户,传送敏感事件的相关图片也会遭到封锁,进而将用户打入黑名单。曾怡硕表示,现在即便不登录微信,只要使用中国厂牌的手机,也同样会被监控,这就是中共扩张监控的手段。
曾怡硕告诉美国之音:“这些海外华人也要我(中共)能够监控的到,到时候就可以作为洗肃,我要追究他们责任,甚至用法律起诉他们的一个证据,所以这是它(中共)对于数位监控,中国版的网络主权观的进一步落实。它(监控)主要是防卫性的,它(中共)不希望这些人传递任何它不愿意(看到)的东西,可是这些防御性的做法却是扩张性的、渗透性的一个手段。”
小米否认为中共监控帮凶
根据去年立陶宛国家网络安全中心的调查,小米手机会自动下载一份“黑名单”比对档案,其中遭审查的449个敏感词汇中,涵盖政治人物头衔、人名、宗教或政治团体名称及社会运动名称等。
台湾NCC近期检测销售到台湾的小米手机,也证实同样含有此一自动审查机制。
不过,针对NCC的指控,台湾小米公司严正否认,并重申小米从来没有,将来也不会限制、回传或阻隔手机用户的任何个人行为。小米解释,NCC报告所提及的“黑名单”档案,是用来管理广告商在小米自有APP中所推送的付费广告内容,以保护使用者免受到色情、暴力、仇恨言论或极可能冒犯当地用户的资讯,此做法在智能手机与社群网站规范管理是很常见的做法。
不过,在全球拥有500万用户的行动软件开发社群(XDA Developers)也曾对小米手机进行实测,该社群发现小米的“黑名单”比对档案虽然出现如 “西藏”、“香港”等政治敏感词汇,但也包含不算敏感的词汇,如“中国”、“中国共产党”,甚至“小米”及“小米手机”等,因此,该社群认为,此“黑名单”比对档案并非用来协助中共封锁网站内容。
位于台北的台湾科技大学资讯管理系教授查士朝表示,2019年前,小米手机对于广告内容几乎不曾管制,含有色情或低俗内容的不当广告泛滥,令使用者诟病,但现在这份黑名单比对档案,除了能“挡广告”,还能审查政治词汇,无论有无监控之实,对台湾人来说的确观感不佳。
查士朝告诉美国之音:“原本它(小米手机)的机制设计,是想要即时去更新一些最新的广告,或是一些屏蔽的字样,所以它用伺服器的方式来做。目前它的屏蔽功能,至少在立陶宛跟在台湾的手机里面,是没有打开的。要打开的话,其实是它要去透过类似手机更新的方式,去推送一些更新的资料到手机里面,那手机才会去启动过滤的功能。”
查士朝表示,目前没有证据显示中共利用这份比对档案来进行审查,但不代表未来不能用于审查。他说,特定手机制造商随时可以利用手机系统的更新,把列表“偷渡”进去,神不知鬼不觉下实施监控。
查士朝告诉美国之音:“手机制造商可以对你的手机做任何的更新或是安装任何的程式,不见得是在你知道的情况底下。”
定期检测防止资安漏洞
为避免对国家安全带来潜在侵害,台湾行政院已于2020年12月18日重申,各公务机关所使用的资通设备包含公务手机,都不得为中国厂牌,以避免公务及个人机敏数据遭到不当窃取。不过,一般民众使用智能手机并无限制。
位于台北的台湾数位鉴识发展协会(ACFD)理事长林宜隆表示,现代人频繁利用手机下载,容易造成资安漏洞。
林宜隆告诉美国之音:“一般来讲,手机攻击方面,第一个任何人都喜欢随便下载APP,APP下载越多漏洞越多。第二个,漏洞越多就让歹徒有机会,透过你的漏洞来被植入木马,所谓的木马就包括勒索病毒。第三个,下载APP除了它本身漏洞之外,下载过程里面含一段所谓的病毒程序启动码,会去下载它设定的某一个网站的病毒进来。”
林宜隆表示,智能手机等同一台行动计算机,只要一开机就代表手机可以随时监控使用者的一举一动,在此前提下,每个人都应该提高个人资料保护和隐私安全的意识,审慎使用手机与连网功能,尤其是政府公务人员,更要时常进行资安防护,以防机敏资讯外泄。
