作者dansy (Eye Taiwan)
看板MobileComm
标题Re: [讨论] 资安问题是不是需要认真讨论一遍?(隐私)
时间Wed Dec 18 14:31:43 2024
中国(陆版)手机到底有没有资安问题?
直接回归到最底层逻辑
Q1.中国(陆版)手机主体销售对象是?
A1.中国平民
Q2.中国平民的个资、财产资料谁最清楚?
A2.中国政府
就以上两个简单逻辑就能理解,中国政府本就拥有所有中国平民的个资、财产资料
根本没必要去费力监控每一只中国(陆版)手机来获取
*************************
个资疑虑解决了,接着继续讨论--通讯、网路浏览、消费资料等隐私问题--
Q3.假设中国政府透过中国(陆版)手机来监控所谓的"反共产政府人员",如何规避?
A3.买支"非陆版手机"
Q4.假设你是中国政府,你会允许A3情况发生吗?
A4.不允许。
会改从网站/app伺服器端资料着手
不论使用者使用任何手机,只要网站/app伺服器在中国都能监控
**************************
再来讨论最後所谓的--定位问题
Q5.假设中国政府透过中国(陆版)手机来定位&追踪人员位置,如何规避?
A5.买支"非陆版手机"
Q6.假设你是中国政府,你会允许A5情况发生吗?
A6.不允许。
会改由追踪sim卡讯号,搭配道路监控人脸辨识系统、电子支付位置等资料确认
不论使用者使用何国手机,均可以保证在中国境内直接定位
**************************
以上简单逻辑辩证,不是要帮对岸共产政府说好话
实际上监控人民通讯与资料这档事,全世界政府都默默在做
搞情报的都是聪明人,监控几千台伺服器就能搞定的事
根本不会选择费力去监控几亿支手机这种吃力不讨好的做法XD
--
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MobileComm/M.1734503505.A.1D8.html
1F:推 strikeone : Exactly 一堆似是而非的言论可以休止了 真理越辨越 12/18 14:54
2F:→ strikeone : 明 12/18 14:54
3F:→ strikeone : 美国该增加抹黑中国的预算了XDD 12/18 14:54
4F:推 se2422 : 直接从源头开始下手 中国政府哪会跟人民那麽客气 12/18 15:03
5F:推 coollee : 简单说 非陆版全世界使用者都会抓bug的 12/18 15:04
6F:→ coollee : 想搞事也是影响自己的销售额 目前 搞这事代价太大 12/18 15:05
7F:→ alonli : 全世界的政府有哪一个会对人民客气的 介绍一下 12/18 15:07
8F:→ WOGEchidna : 还是那句话,怕就别买,买就别怕,别人认为个资疑 12/18 15:11
9F:→ WOGEchidna : 虑那是别人的想法,网路笔战从来都说服不了对方 12/18 15:11
10F:推 se2422 : 笔战本来就不是要说服对方 而是不断地要重复自己的 12/18 15:14
11F:→ se2422 : 观点 12/18 15:15
12F:推 xoy : 第一段有点问题,中国政府不一定有非中国人民的个 12/18 15:19
13F:→ xoy : 资,现在不就是在讨论非中国人使用中国版手机吗? 12/18 15:19
14F:→ xoy : 其余观点没什麽意见 12/18 15:19
没错阿 本文就是论证"中国版手机"(又称"陆版手机")
销售对象就是中国平民 => 根本不需要内建监控
所以可以推导出,是不是中国人来使用"中国版手机",结果都是一样的
至於国际版有没有疑虑,我个人是觉得机率也不高
毕竟能从伺服器端监控,中国情报单位与品牌不至於傻到被全世界抓个现行犯
再说的更明白一点,即便你用所谓的美版iphone
只要你上淘宝、京东买东西,或者上bilibili看影片
还是有可能会被习大大知道你的喜好的.....
但在那之前,其实拜登老头早就知道你平时都看啥YT配饭,在AZ上买什麽送老婆了XD
15F:→ WOGEchidna : 中国版本的手机、中国品牌但海外版本的手机,这两 12/18 15:20
16F:→ WOGEchidna : 个也要分清楚就是了 12/18 15:20
17F:推 strikeone : 怕资安跟满清害怕铁路一样 台湾守旧派冥顽不灵 老 12/18 15:54
18F:→ strikeone : 殖民地了 只能学日本当年殖民台湾揍一顿才会乖 12/18 15:54
19F:推 FantisyP : 这篇合理 12/18 16:01
20F:推 xoy : 监控行为从伺服器端收集是一条路,收集用户端传来 12/18 16:09
21F:→ xoy : 的是另一条,之前欧美对中国网通产品的疑虑就不是 12/18 16:09
22F:→ xoy : 伺服端的设备而是中间段的,另外有个人资讯跟收集 12/18 16:09
23F:→ xoy : 个人行为是两件事,在中国的确伺服器到网路都可以 12/18 16:09
24F:→ xoy : 高度控制,但这跟从用户端收集行为甚至加密资料的 12/18 16:09
25F:→ xoy : 需求是分开的 12/18 16:09
其实看那些发表报告的研究机构跟政府关系就知道
都嘛是先画靶再射箭,不然预算怎麽来?
退一步来说,有人注意过微软Windows更新中有个选项"传递最佳化"吗?
表面上说是用P2P技术加快更新下载速度
但整个Windows都是闭源的,谁知道背地里上传什麽资料?
26F:推 xoy : 如果我确定政府只管网路跟伺服器,那很简单我找个 12/18 16:12
27F:→ xoy : 加密的方式通讯政府就不知道我的行为了 12/18 16:12
理论上是没错,但政府可以从其他管道预测你要干嘛
比如你采买什麽物品,订几号的车票之类的
全部都是从伺服器端就能监控
28F:推 xoy : 如果我知道政府监控伺服器,当然就不会用一般的管 12/18 16:27
29F:→ xoy : 道买啊,难道中国都没走私这件事? 12/18 16:27
肯定是有的,不过你说的比较像毒贩/黑帮行事
但老实说对岸政府可能比较关心人民会不会起义聚众闹事:)
30F:推 xoy : 其实这跟是不是中国也没一定的关系,任何国家就算 12/18 16:33
31F:→ xoy : 有完全掌握网路跟伺服端的天罗地网,有些事情想办 12/18 16:33
32F:→ xoy : 法从用户端直接收集还是最有效而且可能是唯一的方 12/18 16:33
33F:→ xoy : 法 12/18 16:33
你说的应该是针对特定对象,透过社交工程在对象手机/电脑植入监控程式
针对高价值目标研究分析,肯定是最费人力但也最有效的方法
但这种监控方式不能同时洒向几亿人阿:)
34F:嘘 sunen : 中国组装的手机或零件到底有没有资安问题,无法证 12/18 16:38
35F:→ sunen : 明没有请不要使用 12/18 16:38
36F:→ sunen : 在台湾连网的伺服器有没有用中国货,你知道吗? 12/18 16:39
37F:推 haeyhotw : 没人讨论我的文QQ 12/18 16:43
38F:推 xoy : 收集资讯可以是固定的如街头监视器,我们都知道某 12/18 16:47
39F:→ xoy : 些国家的人脸辨识技术不错,另外收集的方式也不是 12/18 16:47
40F:→ xoy : 要就全开,有几亿支手机没错,但是我可以选择收集 12/18 16:47
41F:→ xoy : 的对象,要用再开就好。如果啦,我觉得某些地区有 12/18 16:47
42F:→ xoy : 点怪,我收集连线该地区手机的资料即可,只要後门 12/18 16:47
43F:→ xoy : 是我可以开关的即可 12/18 16:47
那就回到文中的Q3
所谓的"异议份子",可能早就拿非中国手机,请问你要怎麽监控?
所以在中国版手机上预设监控是没意义的,有心人士早避开了:)
反过来说,要监控所谓的异常事件(聚集)
可以参考最民主的DPP王义川大将军之前吹牛的"电信讯号分析"
根本不用手机上传,连群众的个资都能知道了
44F:推 xoy : 那是你把收集这件事以为只要针对谁就好,但是收集 12/18 17:04
45F:→ xoy : 的目的是找出刻意隐藏的关联,每次讨论这种问题常 12/18 17:04
46F:→ xoy : 常网友会说我不重要,但这不是你决定的,你无意间 12/18 17:04
47F:→ xoy : 的行为能连结到某些对象时,你自己不知道的行为就 12/18 17:04
48F:→ xoy : 是有价值的 12/18 17:04
实际上是政府要监控人民有太多方法
你说的这种就属於大数据关联分析
从伺服器端取得资料是最完整也最快的方法
从手机端着手反而是最慢也是最下策
49F:→ xoy : 电信讯号跟手机直接看是两回事啦 12/18 17:05
51F:推 banbanzon : 你484没领教过华为问界收集用户隐私数据到啥程度? 12/18 17:22
53F:→ banbanzon : 大概在车里偷打手枪 华为能靠车内一堆感应器略知一 12/18 17:22
54F:→ banbanzon : 二 12/18 17:22
55F:推 banbanzon : 我看过这麽多3c产品和汽车评测 从来没见过有厂商为 12/18 17:33
56F:→ banbanzon : 了怼自媒体或车媒 把用户隐私数据从云端调出来公布 12/18 17:33
57F:→ banbanzon : 的 更何况还是做手机和通讯设备的大厂 12/18 17:33
同样的问题,你确定特斯拉回传的只有车前镜头影像?
不包括车内感应器数据?
58F:嘘 ziggs8308 : 第一点逻辑就反了 12/18 18:03
59F:→ csh810317 : 反了你要提出证明,懂吗 12/18 18:17
60F:嘘 issemn : 你会被嘘 帮补血 12/18 18:19
61F:嘘 Chen73 : 好了啦 全世界就中国最危险 12/18 18:29
刚吃饭看到的新闻,差点喷饭
果然中国是世界最危险的,连大蒜都可以威胁美国国家安全 :)
「佛罗里达州参议员推动在美国杂货店移除中国大蒜,并在军事基地禁止使用中国大蒜」
https://i.meee.com.tw/tuWTKzY.jpeg
62F:→ xoy : 大数据的前提就是要收集数据,有伺服器是当然的但 12/18 18:34
63F:→ xoy : 是不可能只有伺服器,不看国家,企业的资安方案通 12/18 18:34
64F:→ xoy : 常不会仅限在伺服跟网路端,BYOD是有限制的。已经 12/18 18:34
65F:→ xoy : 花了极大物力盖网路长城跟众多人力做言论审查,有 12/18 18:34
66F:→ xoy : 没有动机做彻底一点? 12/18 18:34
同一件事肯定有很多种解决方案,重点在於成本
先别说数量,光中国机繁杂的品牌与型号,天知道要处理多久?
还不如从伺服器端数据着手...
67F:推 mike198 : 重点是专制或民主监控。 12/18 18:35
是阿,有民主价值,做坏事也变成好事:)
68F:推 goisjkps : 太幽默了 把犯人关在监狱围墙里面他们就自己会自动 12/18 18:50
69F:→ goisjkps : 变乖了 12/18 18:50
70F:嘘 suifong : 请先定义中国平民 12/18 18:51
71F:推 vbotan : 立意良善的监控 懂吗 12/18 19:05
72F:→ vbotan : 这里一堆被王义川看屁眼很开心的 还要说服他们什麽 12/18 19:05
辨到最後就成了信仰问题 信者恒信 不信者就算了
但想说的是 『对岸可能坏,但人家不蠢』:)
73F:推 seiten137 : 台湾数发部可是领很多经费应该有做事 12/18 19:36
74F:推 xoy : 大国的技术能力是不用太怀疑,但是如果天罗地网这 12/18 19:48
75F:→ xoy : 麽强那也不用搞x国版国际版,除了谷哥退出之外就是 12/18 19:48
搞陆版/国际版主要是基於成本&专利考量
76F:→ xoy : 资料落地,这也不是本国品牌而已,苹果三星一样资 12/18 19:48
77F:→ xoy : 料要留在国内而且被查不能拒绝,所以收集资讯留在 12/18 19:48
78F:→ xoy : 国内是现在进行式,不是什麽几亿支不会做,只是传 12/18 19:49
你举的苹果与三星的例子恰好可以说明资讯收集的泛滥并不止於中国
只是中国市场够大,有能力让苹果三星跪着把伺服器留在中国
有个关键一直没提出来,实际上在中国,电信门号是"实名制"并且绑定电子支付
只要从基地台端就能分辨出封包所有者的信息
压根不用透过手机侧录上传来确认使用者个资
也完全不用去烦恼手机品牌、系统、OS版号等复杂问题
所以关键点是电信讯号实名制,根本没必要监控手机
79F:→ xoy : 什麽回祖国而已,今天拿中国版苹果在国外用资料应 12/18 19:49
80F:→ xoy : 该一样传回贵州。 12/18 19:49
81F:嘘 HowLeeHi : 你第一段就不对了 12/18 19:57
82F:嘘 Uncontinue : 辛苦了 12/18 20:09
83F:推 zsp8084 : 总之就是信仰问题 爱用就用管别人怎麽说干嘛 12/18 20:19
84F:推 xoy : 中国版手机把资料传回中国就是监控的手段,只是要 12/18 20:31
85F:→ xoy : 不要看而已。一开始我也觉得只要天罗地网够强大用 12/18 20:31
86F:→ xoy : 户端的设备可以不理的想法很有趣,但是缺陷很多就 12/18 20:31
87F:→ xoy : 如我前面的举例, 12/18 20:31
88F:→ xoy : 加上回传资料而且落地就对了,这才相对完整。回传 12/18 20:33
89F:→ xoy : 什麽资料我不去臆测,但是机制是存在而且已经这样 12/18 20:33
90F:→ xoy : 运作 12/18 20:33
再帮你整理一下思路
从根本逻辑上,"透过陆版手机侧录上传加强监控力度" 这个策略就是无效的
会买陆版手机的平民,中共并不需要加强监控
而中共想加强监控的异议份子,从根本上就不会买陆版手机
所以你说要透过侧录设备来加强监控的逻辑压根不成立....
91F:推 eythans : 有理有据 推一个 12/18 21:03
92F:推 kaz : 黑熊部队来了 12/18 21:06
93F:嘘 opengaydoor : 光是前两Q就过度简化了 12/18 21:17
94F:推 educk512 : 所以美国是吃饱太闲在那边禁止TikTok拆中国路由器? 12/18 21:24
95F:推 banbanzon : 特区拉也会收集用户隐私数据啊 但为了怼车媒自媒体 12/18 21:41
96F:→ banbanzon : 把用户隐私数据从云端调出来公布 只有华为干得出 12/18 21:41
97F:→ banbanzon : 来 12/18 21:41
98F:推 piyopiyolee : 傻了你,就跟资料存云端本地端就不备份了吗?两个可 12/18 22:00
99F:→ piyopiyolee : 以一起做为什麽不? 12/18 22:00
100F:推 banbanzon : 用手机打个比方 今天有UP主自行购买手机做测试横评 12/18 22:05
101F:→ banbanzon : 结果成绩难看让手机厂很不服气 你要是该手机厂会 12/18 22:05
102F:→ banbanzon : 如何处理?要嘛找其他自媒体也做同样横评 要嘛联络 12/18 22:05
103F:→ banbanzon : UP主再送测几台机子并找第三方机构人士做见证 而大 12/18 22:05
104F:→ banbanzon : 菊花的做法是把UP主自行购买的手机 於测试当下及前 12/18 22:05
105F:→ banbanzon : 後的状态数据 从云端调出来公布 来质疑测试不公 我 12/18 22:05
106F:→ banbanzon : 就问这种做法大家接不接受得了? 12/18 22:05
电动车我不熟
只大概看过新闻,似乎是UP主恶意扭曲测试结果,然後华为恼羞成怒公布後台数据
这种好莱坞式的狗血剧情就不评论了XD
107F:推 xoy : 上传资料就是已知在做的事,跟是不是侧录无关,重 12/18 23:00
108F:→ xoy : 点是机制是存在的,力道是可以掌握的,就像网路长 12/18 23:00
109F:→ xoy : 城只要机制做好了,现在不会挡科技上网,不代表做 12/18 23:00
110F:→ xoy : 不到,这都是技术面的事,预设用户一定是谁才是安 12/18 23:00
111F:→ xoy : 全系统最诡异的假设 12/18 23:00
唉...都说监控方法千百种,但要考虑执行成本
这样说吧 你坚持的上传资料定义是什麽?
A.使用者与网站/app互动资料? => 这部分本来就保存在伺服器端,不用额外上传
B.使用者详细个资? => 回到Q1 Q2
C.使用者帐号密码? => 有伺服器端资料,还用得着吗? = =;
除非是只存在手机端且不与网路交互的资料,比如反清复明名单之类的XD
针对这种少数重点对象,自然会有黑客、或情报人员用社交工程去处理
而不是疯狂上传14亿台陆版手机数据,并祈祷重点对象会傻傻的用陆版手机
112F:推 xoy : 我不用去定义上传的资料是什麽,前面就说了,伺服 12/18 23:37
113F:→ xoy : 器的帐密早就可以是加密过的无法单纯从伺服器端解 12/18 23:37
114F:→ xoy : 出,而且我一直没说要疯狂上传几亿支手机的资料, 12/18 23:37
我有点混乱了@@
推文坚持说陆版手机会不断上传资料的是你
现在又说是我的前提? 是有什麽误会吗?
我的论述是只要使用者有使用中国网站/app等网路服务
伺服器端就会有互动资料留存,中国政府就能够直接获得伺服器端的资料
根本不必脱裤子放屁,再从使用者手机侧录帐号密码解密
115F:→ xoy : 这反而是你的前提。今天我不用管用中国版非中国版 12/18 23:37
116F:→ xoy : 手机的是谁,需要的时候在中国长城一关只有中国版 12/18 23:37
是阿,这不就是我本文Q3、Q4的论点吗?
只要掌握伺服器端的资料,谁管使用者是用陆版还是美版手机,政府都能监控
所以跟本没必要花费力气监控每一只陆版手机、额外上传资料
117F:→ xoy : 手机能用就够了,因为机制我已经准备好,除非用卫 12/18 23:37
118F:→ xoy : 星或飞鸽传书 12/18 23:37
119F:推 xoy : 这次韩国戒严很失败的是掌握电视台是没意义的,手 12/18 23:48
120F:→ xoy : 机网路直播从头就一直传送到全世界,这种事在有准 12/18 23:48
121F:→ xoy : 备的国家是不难阻止的,当然不是平常就会用到的东 12/18 23:48
122F:→ xoy : 西,题外话 12/18 23:48
123F:推 away612101 : 谈大数据,结果不谈收集什麽,怎麽收集,用於何处 12/18 23:57
124F:→ away612101 : 然後又在资安的文扯到长城? 12/18 23:57
125F:→ away612101 : 逻辑蛮乱的要不要先试着请AI帮你顺一下 12/18 23:57
126F:→ away612101 : 那我也顺便提一下,加密解不回去干嘛加 12/18 23:57
127F:→ away612101 : 解不回去也不需要解的叫做杂凑好吗… 12/18 23:57
128F:推 cpomax : 有人一直鬼打墙欸XDD 12/19 00:17
129F:→ cpomax : 大数据收集到了,你有想过後续要怎麽处理吗? 12/19 00:19
130F:→ cpomax : 如此庞大杂乱的资料要怎麽归类,就是个大问题了 12/19 00:19
131F:→ Crios : 有些对岸的APP反而比中国手机危险 12/19 00:40
132F:→ Pourquoi31 : 想赚你的钱 跟想要你的命 还是有程度上的差异 不过 12/19 02:09
133F:→ Pourquoi31 : 便宜治百病啦 12/19 02:09
134F:推 APC : 只要 ZF 有需要,手机商还是会依当地法律迅速把後 12/19 04:38
135F:→ APC : 门掰开 12/19 04:38
136F:推 xoy : 伺服器端加密过的资料就靠使用者端的Key去解啊,[ 12/19 04:51
137F:→ xoy : 只有]伺服器端的资料看到的只是乱码跟使用者解密成 12/19 04:51
138F:→ xoy : 不成功而已。 12/19 04:51
你说的加密是指帐号密码被加密传输,并与伺服器端储存的hash值比对
实际上你的个人讯息、浏览/订单纪录...等资讯
在伺服器端资料库中可能是明码储存(最低级)或使用其他DB权限加密
负责任一点的会把个人信息DB与其他DB隔离开
但并不是用使用者的帐密去加密
举个淘宝的例子,如果用"使用者帐密"加密,那淘宝後端程式怎麽帮你处理订单?
没有你的密钥,怎麽在你离线时把资讯转给厂家与物流?
又或者双11过後马云大大想了解一下销售情况
没有所有人的密钥,系统怎麽去资料库捞资料做客户与销售商品的连结分析?
139F:推 xoy : 资料落地跟掌握伺服器我很认同这是很重要的控制手 12/19 07:05
140F:→ xoy : 段,但只有这个是不够的,加上电信控制也不够,非 12/19 07:05
141F:→ xoy : 中国版的设备不用装SIM卡只要用Rand MAC上网就好了 12/19 07:05
142F:→ xoy : ,要靠长城挡掉翻墙的路,非中国版的设备根本不需 12/19 07:05
143F:→ xoy : 要连中国境内的伺服器 12/19 07:05
144F:推 PRODIGALEX : 推逻辑清晰。 12/19 07:58
145F:嘘 WindSucker : 笑了 12/19 10:39
146F:嘘 ccufcc : 中国政府不靠手机监控加强?根本不需要手机? 12/19 12:00
147F:推 GTR34 : 简单来说 一堆VPN背後老板都有中国跟美国影子 12/19 12:14
148F:推 xoy : 把商业伺服器当作一切的确就是你说的,但是资料落 12/19 18:09
149F:→ xoy : 地重点不是购物网站,而是放品牌用户资料的地方, 12/19 18:09
150F:→ xoy : 这种伺服器为了跟客户推销隐私都会强调就算原厂也 12/19 18:09
151F:→ xoy : 无法不透过用户设备读取资料,苹果就是最喜欢推销 12/19 18:09
本文就是在讨论由 网站/手机app的伺服器资料 来监控
压根没讨论你说的 手机商自有伺服器喔
152F:→ xoy : 这一套的,现在中国版苹果都是云上贵州,但是苹果 12/19 18:09
153F:→ xoy : 要是没唬烂政府或他要取得用户资料不可能只靠伺服 12/19 18:09
154F:→ xoy : 器资料,除非中国版苹果伺服器有藏後门给自己跟政 12/19 18:09
155F:→ xoy : 府 12/19 18:09
这不好说,按道理美国制裁华为,中国却没反击
还好几次让库克到中国造势宣传
或许苹果私底下已经默许中国政府取得中国区伺服器资料
就跟很多翻墙VPN背後是中国政府架设一样
但这种事永远不可能在台面上承认的:)
156F:推 xoy : 苹果之流的公司也会强调生物资讯或用户重要特徵是 12/19 18:12
157F:→ xoy : 不会传到伺服器的,这是隐私的基本,除非中国版不 12/19 18:12
158F:→ xoy : 一样 12/19 18:12
题外话
就算是美版设备,在中国境内更新时,连的也是中国区伺服器喔....
159F:推 zerg2150 : 逻辑清晰,感谢分享 12/19 18:36
160F:嘘 yahappy4u : 没啊。你的前提是「从伺服器端监控比较方便,所以不 12/20 01:48
161F:→ yahappy4u : 用再从手机端监控。」但中国有在省这个钱的吗?维稳 12/20 01:48
162F:→ yahappy4u : 费用一年多少,可以同时搜集大数据+从伺服器端监控 12/20 01:48
163F:→ yahappy4u : 啊 12/20 01:48
※ 编辑: dansy (23.158.104.231 香港), 12/20/2024 21:35:06
164F:推 Esvent : 为何非必要可以直接推导成不会做?想得太理所当然了 12/21 10:39
165F:→ Esvent : 吧 12/21 10:39
166F:→ Esvent : 两个都做确保其中一个手段不会失效难道不是比较好 12/21 10:39
167F:→ Esvent : 的做法? 12/21 10:39
168F:嘘 victory63015: 拥有个资=没有侵害隐私疑虑? 12/24 09:04
169F:→ victory63015: 你这什麽破洞辩证== 12/24 09:04
170F:→ victory63015: 高中辩论社都比你有料 12/24 09:04
171F:嘘 amows : 一堆似是而非的论述 中国监控伺服器不会监控手机?? 12/25 15:07
172F:→ amows : 中国只靠一堆摄影镜头跟Sim卡 不会调你手机资料?? 12/25 15:07
173F:→ amows : 你确定你知道在说什麽吗?? 12/25 15:07