中國的3C產品是否有嚴重的資安問題,一直是坊間爭論不休的重點,有些人認為這是競爭對手為了打擊特定公司產品所釋放出的謠言,也有人認為這是為了操作抹黑中國的政治議題才使用的手段,本來筆者對這種看法也是半信半疑的態度,但直到最近一則利用基地台進行詐騙的新聞,讓筆者開始研究這問題,本文將探討中國產品在資安方面存在的問題,並提供相關應對方法。
一、基地台詐騙案事件原理與國內電信公司資安風險
最近,基地台詐騙案引起了廣泛關注,而事件中嫌犯利用從中國購買的基地台設備,攔截台哥大公司的訊號後,向隨機對象發送釣魚簡訊,藉此取得被害人的信用卡與銀行帳戶資訊等個資,結果造成3個月內有30多人受害,損失至少300萬元。
此外,其他類似情況像是,收到詐騙簡訊的被害人,在收到簡訊前手機訊號突然不穩,接著就從4G訊號轉為3G,且多數是在都會區等人口密集區發生,由於台灣都會區多數的基地台都已由3G轉為4G,因此可以推斷這些做案用的基地台多為發送3G訊號為主。
在筆者的認知中,無論是幾G的基地台設備系統後台都要有電信公司與設備公司的權限才能開啟,以預防有心人士利用系統後台去盜用客戶資料,但在這次的新聞畫面中,我們看到嫌犯所使用的設備不僅能開啟後台,還有客製化的操作介面方便嫌犯操作,因此可以得知他們所使用的基地台設備,其系統後台的操作權限已經被破解,也代表使用同家3G設備的電信公司都暴露在資訊外洩的風險中。
二、中國3C產品的普遍性問題
但這次事件的背後我們可以看出幾個鮮少被新聞提起的問題,為何中國製造的3G基地台設備在流入市面後可以被輕易地開啟系統後台?是不是設備商方面有任何資安防護的疏失?如果連基地台這種高端設備都能被輕易取得後台控制權,是否代表中國製造的其他類型3C設備產品也有同樣的危機?
其實筆者早年從事相關行業時,知道中國的資訊設備公司在設計產品時往往有些壞習慣,就是會在系統後台的控制權限上,慣性設置一道後門,好方便隨時進行遠端控制和取得客戶資料,而不需要經由特定的設備才能進行操作,這也代表中國製造的3C產品普遍都有後門設置的問題。
三、中國產品的後門文化與資安風險
因此這次的新聞事件背後可能有該間設備公司的離職工程師參與其中,甚至不能排除是被裁掉的人員蓄意為之,所以我們才會看到新聞畫面中,嫌犯能用手機直接對基地台進行操作,而不需要經由特定的工程電腦才能進行。
但這樣留後門的文化演進到後來,就直接演變成中國政府對人民進行監控最直接的手段,這些後門讓公安的網路部門不需要電信公司和設備商的授權,就能隨時隨地掌握每個人的位置和發言內容,並在共產黨授權下能隨時逮捕有顛覆共產黨統治嫌疑的發言者,就像著名小說『1984』的經典台詞一樣「老大哥正在看著你」,共產黨藉此手段達成對中國民間的完全控制。
然則中國的3C產品除了有後門方便共產黨對人民進行監控外,也成為另類竊取機密資訊的手段,國外已經有數間資安相關單位指出,中國製造的手機都有資安疑慮,會將用戶的資料「全部」回傳到北京,這些資料內容可能包含日常的訊息傳遞,或手機內的私密相片等全部與改善手機使用體驗無關的資料,這對於某些從事高機敏性工作的商務人員或軍公職人員來說就成為不得不注意的問題,因為隨時有可能導致國家或商務機密外洩,同時也因為這些後門資料當中包含當事人的定位等資訊,一旦使用者是中國政府亟需抹除的對象,就能讓對方消失在世界上。
四、一般人如何保護自己個人資訊
或許會有人認為,自己又不是從事高機敏性的工作,使用這些產品應該不會有任何資安問題也不會有安全疑慮吧?會有這種認知的3C產品使用者,卻也往往是眾多資安事件下的受害者。無論是中國或駭客組織,他們竊取一般人的資料多數是為了竊取信用卡與銀行帳戶等有價資產,所以並不代表一般的3C消費者不需要注意資安防護的問題。
那麼一般民眾該如何應對基地台詐騙呢?首先是在人潮密集處,如果發現自己的手機訊號突然從4G或5G跳成2G、3G訊號時,要立刻開啟飛航模式,強迫手機轉回4G以上的訊號;其次則是在手機的設定介面上,設定讓手機較偏好4G以上的訊號,而不會輕易被GSM和3G的訊號蓋台。最後就是如果收到奇怪內容的縮網址簡訊時,無論如何都不要隨便點開,應該先向相關單位進行查證,以確保自己的個資安全。
除了抵制消費外,我們也需要督促民意代表,立法限制和監督這些3C終端設備產品的進口和使用,剩下的就是我們自己要隨時注意資安和詐騙類的新聞,以避免自己成為下一個受害者。