小米手機暴露資安風險 疑助中共實施境外數字監控

烏克蘭基輔的一家小米手機店。(資料照,2020年10月,路透社)

Your browser doesn’t support HTML5

小米手機暴露資安風險疑助中共實施境外數字監控

台灣的通訊監管機構國家通訊傳播委員會(NCC)近期公佈,小米一款5G手機內建的七個APP,有自動審查兩千多個“政治敏感詞彙”的功能,也具有阻絕連網或將相關瀏覽記錄回傳的疑慮。儘管小米公司否認並強調不會限制用戶的個人行為。但專家表示,中共透過中企在境內所建構的數字監控網早就不是秘密,現在遭監控的對象恐已擴及到海外華人。手機監控的個人資訊若被回傳中國,未來可能成為中共起訴或構陷民眾的鐵證。

台灣的國家通訊傳播委員會(NCC)1月6日公佈一份智能手機內建軟件的資安抽測報告,其中2020年下半年五款銷售量較高的中國廠牌手機皆未通過初測,後經改善後才通過複測。2021年上半年送測的十款不同廠牌手機,僅有美國品牌Apple iPhone 12通過資安要求,其中在台灣銷售的小米10T 5G手機被發現部分內建軟件具有政治敏感詞彙的自動審查功能,且恐有資訊回傳的疑慮。

中共審查“敏感字眼”?

此款小米10T 5G手機發佈於2020年9月底,在全球已銷售一年多。去年9月底,立陶宛國家網絡安全中心(NCSC)揭露,該手機的歐洲版機種所內建的軟件具有文字審查功能,因此呼籲全民棄用中國手機,也引發各國安全部門開始對小米手機展開調查。

台灣NCC去年10月委請電信技術中心(TTC)檢測在台銷售的小米同款手機後發現,其內建的七個應用軟件,包括個性主題、音樂、軟件包安裝程序、手機管家、垃圾清理、下載管理及小米視頻,會從特定服務器(globalapi.ad.xiaomi.com)下載一份“黑名單”比對檔案,並針對“自由西藏”、“台灣獨立”、“香港獨立媒體”、“六四事件”、“蔡英文”等兩千多個政治、社會、宗教等北京所認同的“敏感字眼”進行自動審查。

小米手機

各廠牌手機對涉及使用者隱私資訊時,通常提供設定開啟或關閉功能之選擇,但此款小米手機並未提供此功能,等於任由小米決定對這些隱私資訊的處置。根據中華人民共和國國家情報法第十四條,中國人民、企業有支持、協助和配合國家情報工作之義務。因此,分析人士說,小米很難避免扮演中國政府數字監控的協助角色。

台灣NCC也認為,小米手機有將使用者隱私回傳中國之疑慮,恐侵害到台灣使用者的個資或隱私。

中共“擴張性”的數位監控

位於台北的國防安全研究院網絡安全與決策推演研究所助理研究員曾怡碩表示,數字監控用在商業界,以蒐集商業情報、分析大數據的情形相當普遍,但值得注意的是,小米加入了許多政治性特殊敏感字眼的審查和監控,基於小米的使用者遍及世界各地,恐侵害到海外用戶,包括自由地區華人的資訊權。

位於台北的國防安全研究院網絡安全與決策推演研究所助理研究員曾怡碩

曾怡碩告訴美國之音:“中國式的數位監控構成數位威權主義很重要的一部分,這個監控是任何上網的,用到的手機內容裡面不應該出現,它(中共)所認定的這些敏感字眼。但是問題是,它(中共)的數位字威權、數位字監控,以這樣一個做法來看的話,變成是擴張到不只是對境內,因為以它的數位字主權或者網絡主權來看,跟歐盟的數位字主權是完全背道而馳的。”

中共於去年3月推出一款“國家反詐騙中心App”,就曾被懷疑是監控軟件,對此軟件,小米曾於官方微博闢謠說:其手機“沒有內建“國家監控中心App”,被廣大網民取笑為此地無銀三百兩,反而將“反詐騙中心”與中共的監控劃上等號。部分網民也分享經驗,表示安裝該應用程式後,只要瀏覽海外網站或安裝VPN等翻牆軟件,很快就會有警察找上門。

曾怡碩指出,2020年加拿大多倫多大學“公民實驗室” (Citizen Lab)曾發布報告揭露,中國最大、月活躍用戶達12.25億的通訊軟件微信,會以“關鍵詞名單”來審查中國用戶,傳送敏感事件的相關圖片也會遭到封鎖,進而將用戶打入黑名單。曾怡碩表示,現在即便不登錄微信,只要使用中國廠牌的手機,也同樣會被監控,這就是中共擴張監控的手段。

曾怡碩告訴美國之音:“這些海外華人也要我(中共)能夠監控的到,到時候就可以作為洗肅,我要追究他們責任,甚至用法律起訴他們的一個證據,所以這是它(中共)對於數位監控,中國版的網絡主權觀的進一步落實。它(監控)主要是防衛性的,它(中共)不希望這些人傳遞任何它不願意(看到)的東西,可是這些防禦性的做法卻是擴張性的、滲透性的一個手段。”

小米否認為中共監控幫兇

根據去年立陶宛國家網絡安全中心的調查,小米手機會自動下載一份“黑名單”比對檔案,其中遭審查的449個敏感詞彙中,涵蓋政治人物頭銜、人名、宗教或政治團體名稱及社會運動名稱等。

台灣NCC近期檢測銷售到台灣的小米手機,也證實同樣含有此一自動審查機制。

不過,針對NCC的指控,台灣小米公司嚴正否認,並重申小米從來沒有,將來也不會限制、回傳或阻隔手機用戶的任何個人行為。小米解釋,NCC報告所提及的“黑名單”檔案,是用來管理廣告商在小米自有APP中所推送的付費廣告內容,以保護使用者免受到色情、暴力、仇恨言論或極可能冒犯當地用戶的資訊,此做法在智能手機與社群網站規範管理是很常見的做法。

不過,在全球擁有500萬用戶的行動軟件開發社群(XDA Developers)也曾對小米手機進行實測,該社群發現小米的“黑名單”比對檔案雖然出現如“西藏”、“香港”等政治敏感詞彙,但也包含不算敏感的詞彙,如“中國”、“中國共產黨”,甚至“小米”及“小米手機”等,因此,該社群認為,此“黑名單”比對檔案並非用來協助中共封鎖網站內容。

位於台北的台灣科技大學資訊管理系教授查士朝(照片提供:查士朝)

位於台北的台灣科技大學資訊管理系教授查士朝表示,2019年前,小米手機對於廣告內容幾乎不曾管制,含有色情或低俗內容的不當廣告氾濫,令使用者詬病,但現在這份黑名單比對檔案,除了能“擋廣告”,還能審查政治詞彙,無論有無監控之實,對台灣人來說的確觀感不佳。

查士朝告訴美國之音:“原本它(小米手機)的機制設計,是想要即時去更新一些最新的廣告,或是一些屏蔽的字樣,所以它用伺服器的方式來做。目前它的屏蔽功能,至少在立陶宛跟在台灣的手機裡面,是沒有打開的。要打開的話,其實是它要去透過類似手機更新的方式,去推送一些更新的資料到手機裡面,那手機才會去啟動過濾的功能。”

查士朝表示,目前沒有證據顯示中共利用這份比對檔案來進行審查,但不代表未來不能用於審查。他說,特定手機製造商隨時可以利用手機系統的更新,把列表“偷渡”進去,神不知鬼不覺下實施監控。

查士朝告訴美國之音:“手機製造商可以對你的手機做任何的更新或是安裝任何的程式,不見得是在你知道的情況底下。”

定期檢測防止資安漏洞

為避免對國家安全帶來潛在侵害,台灣行政院已於2020年12月18日重申,各公務機關所使用的資通設備包含公務手機,都不得為中國廠牌,以避免公務及個人機敏數據遭到不當竊取。不過,一般民眾使用智能手機並無限制。

位於台北的台灣數位鑑識發展協會(ACFD)理事長林宜隆表示,現代人頻繁利用手機下載,容易造成資安漏洞。

位於台北的台灣數位鑑識發展協會理事長林宜隆(照片提供:林宜隆)

林宜隆告訴美國之音:“一般來講,手機攻擊方面,第一個任何人都喜歡隨便下載APP,APP下載越多漏洞越多。第二個,漏洞越多就讓歹徒有機會,透過你的漏洞來被植入木馬,所謂的木馬就包括勒索病毒。第三個,下載APP除了它本身漏洞之外,下載過程裡面含一段所謂的病毒程序啟動碼,會去下載它設定的某一個網站的病毒進來。”

林宜隆表示,智能手機等同一台行動計算機,只要一開機就代表手機可以隨時監控使用者的一舉一動,在此前提下,每個人都應該提高個人資料保護和隱私安全的意識,審慎使用手機與連網功能,尤其是政府公務人員,更要時常進行資安防護,以防機敏資訊外洩。