文:洪朝贵(朝阳科技大学资讯管理系副教授)
奇虎科技所出产的360儿童手錶在并不是特别流行,但或许是拜北京新浪新闻网站大力推荐之赐,这款产品在儿童手錶的脸书社团里也还蛮常被提及,且虾皮、淘宝、Yahoo奇摩拍卖上面都买得到。它的国际版委由Xplora公司代销,在欧洲销售得不错;从今(2020)年9月起,也在销售。至今,Xplora的代销版本在全球共有40万用户。
有趣的是,这只手錶有一个后门(backdoors):奇虎及Xplora两家公司有能力从远端启动监控模式,在小朋友(当然大人也是)无法察觉的情况下,启动相机拍照并回传至其云端,以及进行其他诸如查询目前位置等的监控⋯⋯
小心!您与孩子使用的Apps正被秘密监控中Xplora在北欧特别流行,而这个后门也是由挪威的资安公司Mnemonic所揭发。研究人员透过逆向工程研究360儿童手錶的程式码,发现(并且成功地测试)只要传送一个加密过的简讯给这只手錶,就可以无声无息地触发上述偷拍。这只手錶採用Android 7牛轧糖(Nougat)作业系统,一开机就会启动一个名为「Persistent Connection Service」的可疑客製程式。
在资安攻防领域里,有一类常见的「进阶持续性渗透攻击(Advanced Persistent Threat, APT)(注)」,而在受害者的电脑或手机等装置中,需要有一个随时待命、接收攻击方指令的关键程式,这个Persistent Connection Service的名称与功能都符合APT的这个角色。
它会逐一检查手錶上的所有应用程式(Apps),看看其中有哪些可以接受远方下达的指令。(笔者按:这是否意谓着,以后奇虎可以透过正常的Apps市集管道来推出更多具有更先进遥控偷窥监控的Apps,直接升级监控功能?)
注释:泛指一类进阶的电脑入侵型态,透过各种隐匿的方式顽强地长驻在受害者的装置上,目的就是要长期、持续地对用户蒐集情报。
除了偷拍功能之外,研究人员在程式码中还发现360版的「联络人」App,为远方攻击者提供了WIRETAP_ INCOMING跟WIRETAP_BY_CALL_BACK这两个服务。顾名思义,笔者猜测应该就是「窃听来电」跟「视需要窃听」。另外,还有一个SEND_SMS_LOCATION服务,貌似可以透过简讯将儿童目前位置传回给攻击者。
后门的设定,绝非无心之过谁能够寄送加密简讯启动这些监控与窃听呢?首先要知道,遥控者必须知道受害者的「电话号码」,以及原厂为这支手錶所设定的「加解密金钥」。如Mnemonic两位研究人员这类有机会接触过手机一段时间的高手当然可以,而Xplora与奇虎两家原厂当然也不例外。
揭发此事的研究人员明确表示:「从资安角度来看,最大的问题就是竟然会有这个后门。诸如窃听、偷拍等等问题并不是来自(粗心的)软体漏洞、设定错误或误用老旧(因而不安全的)通讯协定。这是刻意设计的功能。他们到底想要做什么?」
来自言论管制社会的产品,全面监控是日常必须此外,根据〈网路安全法〉第28条:「网路运营者应当为公安机关、机关依法维护和侦查的活动提供技术支持和协助。」习惯享受言论与上网自由的人,可能会忽略一件至为明显的事:企图检视被防火长城所阻挡的资讯,在中共眼里算不算是「」、算不算是「危害」呢?
如果连西方记者把微信密码改成「fuckccp89」都会被侦测到并且迅速被封锁帐号,如果连抖音的国际版Tiktok都会侧录剪贴簿、蒐集儿童个资,你还能期待中共对于本土的Apps,会愿意放弃任何控制权吗?採用任何来自、没有原始码的Apps,就是直接放弃隐私,日夜不设防地裸奔给看。以硬体来说,购买了(装有诸多Apps的)电子资讯产品却不会或不打算刷机,也是一样的效果。
尤其,奇虎360公司从2010年至今,欺骗用户的争议行为层出不穷,乃至履履引发苹果、小米、华为、联想、酷派、OPPO等公司因资安考量而全面下架360产品,可以说是经过多方认证的专业恶意软体公司。把自家小孩子的行蹤与通话交给它照顾⋯⋯需要很大的勇气与信仰呢!
参考资料 〈360儿童手錶S1体验:能学习的电话手錶〉,北京新浪网,2020年3月13日。 脸书社团「儿童智能手錶智慧手錶讨论区」。 Harrison Sand and Erlend Leiknes, Exposing covert surveillance backdoors in children’s smartwatches, mnemonic, 2020. 〈中华人民共和国网络安全法〉,信息安全测评中心,2016年11月7日。 〈记者微信密码改「FuckCCP89」称45秒内被永久封号〉,《自由时报》,2020年6月5日。 〈苹果iOS 14揭抖音偷窥iPhone剪贴簿 用户密码全都露〉,中央社,2020年6月28日。 〈360相关争议〉,维基百科。本文经科学月刊授权刊登,原文刊载于此