20161116

The relationship of the Android Phones' backdoor software and brand in China.

The relationship of the Android Phones' backdoor software and brand in China.

討論的新聞主題來源:
中國公司被指在安卓手機留「後門」

我的論點如下。 

iOS 沒有傳資料到中國,你聽誰說的?google 還沒在中國有自己的服務系統的主要原因就是因為不配合政府的監管,中國政府的監管是我要看就要給我看,沒有所謂的法院命令這種事情的。iOS 的訊息服務服務在中國可以用的原因就是直接對中國政府讓步了,不然的話沒有自己平台的訊息服務系統的話是能做什麼呀! google 就是死在這個地方。

中國官方只有金融交易相關的連線允許 https,非金融交易類的連線全部都是 http 明文連線,然後他的防火牆要改什麼都可以,你以為最大的 DDoS 系統在那邊呀?還是國營的唷!我們公司的遊戲到對岸給代理商做 OB 第一時間整個連線就被破解了,還有大陸玩家自己開了私服,因為根本沒有辦法保護連線的內容。 

如果有在公司使用的話要裝 mdm 之類的管理機制,基本上就是做什麼公司都看得到了,商業公司的裝置控管反而是歐美的公司比較有這樣的觀念。但是這是公司內部規定跟告知的問題,跟這次討論的問題沒有關係。 

NSA 做的事情不是叫你傳給 NSA ,是幫你備份你的資料,所以今天的問題是系統容不容易被備份,以 apple google 的相關服務而言,規模跟強度沒有這麼好處理,所以可能會從相關但是比較脆弱的第三方服務下手,或者認證上面的漏洞上面下手。android 6 之後非大陸公司的產品已經問題少很多了,SAMSUNG KNOX 2.0 好像還被 DoD 認證,android 7 還有更強的安全機制,所以很多有自己做第三方安全機制補強的到 android 7 要重包軟體。

安全這種事情是相對的,如果真的要問我的話,請準備大陸地區專用的 apple 手機,門號,帳號,做實體隔離,如果做不到,那找非大陸品牌手機的旗艦機每個月跟上安全性更新比較實際,奇怪的 app,權限一堆的盡量不要裝。apple 比較安全這種事情早就在大陸官方商家軟體上架在 apple store 內建後門的時候不攻自破了,因為大陸沒辦法抓到官方 xcode ,結果一堆公司用大陸人準備好的版本,apple 也沒有驗證。apple 在軟體安全驗證這件事情上面,按照工作上面了解的內容,我跟各位直接說不要期望太多,沒有比 google 好到哪裡去。

一個關鍵的概念,就是手機製造商有沒有基本的隱私跟敵對意識,NSA 是把這些隱私當作是情資,所以會用旁門左道去收集,但是中國政府的邏輯是立法保障政府隨意取用資料的權利,所以就看你手機製造商跟中國政府的關係,可能是最實際的,所以為了取得平衡,有很多外商會出中國版手機也很正常,當然 apple 也是。如果覺得各國政府都是爛蘋果的話? 那我們回到基本的法治問題好了。跟一個開設 VPN 服務就會被消失兩年的國家比爛蘋果,這個我都不自主的笑了。NSA 是資料收集很強,中國政府是言論管制很強,在意的地方不一樣,中國政府是明著來,NSA 是情報單位,是暗著來的,情報的強度在於準確度,所以沒有足夠的把握或者必要,基本上 NSA 沒事都不會出手。如果我們覺得 NSA 濫權了,那中國政府的狀況就很難形容了。 

Budget Android phones are secretly sending users’ text messages to China
The incident is reminiscent of a problem with HTC devices, which, through lax security, allowed malicious third parties to steal sensitive information. The company settled with the FTC in 2013 over the incident. But the Adups problem “is far more extensive,” Karygiannis says — logging more specific information on users without their knowledge, and through pre-installed software.

其實 HTC 也是被點名有這樣的問題,到底是什麼工具這樣作我不懂,HTC 理論上不需要做這樣的事情才對呀!

 我的結論大概是這樣。

你看美國政府還願意用那些品牌的手機平板, 就加減挑一家吧! NSA 很多時候還是要想辦法先把封包錄起來, 然後想辦法偷憑證, NSA 你真的要從 NSA 拿到資料還沒有這麼容易, 真的要被美國動手監管也要有那個價值。中國政府的概念比較像是這就是大數據呀! 我公安監管單位看你 QQ wechat 是工作呀!