你的閱讀器夠安全嗎:閱讀器的資安問題
科技先進,資訊爆炸,AI方便,裝滿資料的電子裝置危險不危險?
在科技發達、資訊爆炸AI當頭的時代,人人隨身攜帶的智慧型裝置包含著滿滿的個人資料。然而,在各大手機廠商與系統開發商的努力下,現今的手機在資安方面表現大致上都有到及格線。隨著電子紙技術的迭代更新,越來越多人拿著手上的電子紙上網、辦公。身為其中一員的麥克在享受著電子紙方便的同時也萌生了這樣的想法:手上的電子紙裝置在資安表現是及格的嗎?抱著這樣的心態,麥克測試了手邊的裝置,跟大家分享測試的結果。
選手介紹
雖然手邊有好幾台閱讀器,但但麥克目前沒有測試亞馬遜、讀墨系列等封閉式閱讀器的方法與手段,只好做罷,但一般的共同認知是封閉系統資安全靠廠商,也許安全方面不會有大問題,但系統肯定會蒐集使用者的資料給廠商。既然封閉式閱讀器沒法子測,麥克只能以開放式閱讀器作為本篇文章的主角。最近麥克手邊比較常用的主機是Boox Tab Mini C (TMC)、Meebook M6 (M6)以及Mobiscribe WAVE (WAVE),因此就拿這三台做測試,三台主機的韌體版本分別是 2023-06-05_18-05_3.3.2-tab_fac09ea049/V1.5.2-2023081616/V2.5.1-Baa58ff-62_20230727.214610。
連上網之後都在幹嘛?
講到資安問題,相信大家首先會擔心的就是到底裝置都會自動傳些甚麼東西給誰。一開始我們就來看看三台主機開啟網路後會發生甚麼事。透過付費VPN軟體,麥克得以追蹤三台主機在連接上無線網路後都偷偷摸摸地做甚麼壞壞的事。從下圖可以看到,基本上除了Google自帶的各種東西外,三台主機基本上都會回傳資訊給公司,除此之外並沒有看到太異常的紀錄。至於到底上傳了些甚麼,老實說公司不講我們也不知道,只能祈禱公司的隱私權政策值得相信,就算拿到了敏感資料公司也會好好幫我們保存了。
主機連上網的後台連線紀錄,由左至右分別為TMC、M6、WAVE
Google安全性更新
除了連上網路的可疑行為,另一個值得注意的就是安全性更新了。幾乎所有的開放式閱讀器無一例外都是使用安卓的作業系統,而Google每個月都會釋出安全性更新修補系統漏洞,但廠商是否會跟著推送更新就是另一回事了。在安全性更新方面TMC作為最晚推出的主機,安全性更新竟然是在最落後的2020年,M6則在2021年版本。雖然WAVE的安全性更新最新,來到2022年 ,但現在都已近2023年年末了,這樣的表現老實說令人難以接受。麥克查過相關資料之後,發現安卓11系統的安全性更新最後一次更新是2022年12月的版本,因此除非廠商特別認真經營,使用安卓11的TMC與M6最多其實也只能升到去年底的版本。而WAVE的安全性更新雖然乍看之下比較新,其實也可能只是作為開發基底的安卓系統當時自帶的版本,在正常情況下應該要能輕鬆更新到近幾個月的版本才對。
三台主機的安全性更新版本,由左至右分別為TMC、M6、WAVE
廠商那邊沒辦法,那我們我們能做甚麼?
從上述情況可以得知,在閱讀器的資安方面有很多面向其實在消費者這端是十分無力的。但既然無法依賴廠商,身為消費者的我們是否能做些甚麼呢?答案是有的。首先,先確定自己使用閱讀器的目的與習慣,接著評估資安問題對自己來說重不重要。以麥克自己為例,麥克的M6幾乎都是拿著在通勤時閱讀,傳檔案都是接電腦或隨身碟傳送,無線網路的功能只有剛拿到主機進行設定與為了本篇文章測試時使用。在這樣的使用情境下,基本上主機缺乏對外連接的手段,因此在資安方面就沒有需要重視的需求。那如果是有需求的情況呢?所幸安卓系統算是相對自由的系統,使用者可以透過多種手段保護自己的資訊,例如經常更新主機的韌體(當然前提是廠商有推送)、只從信任的來源安裝軟體(如Play商店),更進階的則包含使用軟體加密連線與阻擋可疑連線、對敏感資訊進行檔案加密、開啟多位使用者功能使用不同軟體等等,能夠在一定程度內改善這些問題。
總結:做與不做,全看需求
前面那麼多字,資安問題追根究柢就是一個問題:「你在不在乎?」如果閱讀器從頭到尾只會拿來看網文,那這主機根本就不需要管那麼多,能好好連網不會lag就好了。但如果是會需要在主機上編輯公司的敏感資訊,那可能就需要謹慎評估,大概就是這種感覺。麥克認為以多數人的使用情境,其實是不太需要過度擔心的。
