施典志

資深編輯、譯者、社群經營者、講師、自由部落客。喜歡站在用戶角度思考各種各樣的本質問題。曾任PC home雜誌副總編輯、T客邦創辦人、博客來總經理特助、Yahoo奇摩社群經理(無名小站、知識+、Flickr)、Rocket.cafe 火箭科技評論編輯總監,現任方格子顧問/平台營運總監。

鏡周刊報導何韻詩來台被駭,我的一些疑惑

這類和技術相關的新聞,找個專家來當顧問是必要的。

《鏡周刊》爆了個很大的料:在香港歌手何韻詩來台的過程中,有台灣徵信社透過何的司機,取得何的手機,植入監控軟體;全文可以去鏡周刊網站去讀:

https://www.mirrormedia.mg/story/20191112soc002

報導的一些技術疑點

不過,鏡周刊這篇報導,並沒有把徵信社具體安裝了什麼駭侵軟體寫出來;讀完整篇報導後,我有幾個疑問:

  • 何應該不會找不信任的人來接送;胡博硯律師稍早有寫文抗議。因為他是當天何的司機。
  • 司機要怎麼取得何的手機?即使是熟人,通常也不太會把自己的手機交給他人;這部分鏡周刊也沒有交待(因為他們沒訪到何韻詩本人)。
  • 何韻詩是用 iPhone,而 iPhone 都會有指紋或面孔解鎖,非本人就算取得手機也不容易解開,因此應該很難在解鎖後植入惡意軟體。
  • 另外一點,台灣徵信業者多半是小規模、小本經營,我很懷疑他們能有多強的技術,擁有可在 iPhone 上執行的惡意軟體?除非幫那支手機越獄。(皮樂大大也說,以目前而言,在 iOS 10 後,越獄過的手機在重開機後,就無法持續處在越獄狀態了。)
  • 最根本的問題是,老共要駭何韻詩,根本不需要台灣徵信社,也無需大費周章等何來台灣,再大費周章拿到她的手機來駭。老共自己就養了很多超強的 APT 駭侵團體,老早在香港就可以遠端駭侵監控了(而且我相信何一定老早就被盯上)。

話說回來,透過台流和徵信社,用盜錄或裝GPS 這種低科技,來監控台灣在地的異議人士,倒是完全有可能且合理。

至於高科技駭侵的部分,確實也有不用取得手機也能遠端駭入的手法。最近浮上枱面的案例,就是 WhatsApp 先前有個漏洞,被以色列的監控軟體公司 NSO 拿來利用,用戶手機只要響起 WhatsApp 的來電鈴聲,即使沒有接聽,也能植入惡意軟體,監控受駭者的一舉一動

NSO 這個例子,只是浮上枱面的案例,一定還有更多同等厲害、甚至更強的駭侵手法,只是尚未被揭發而已。

一些延伸想法

  • 鏡周刊的報導當然在技術方面有很多問題,所以如果他們在撰稿時,同時也去訪問一些資安專家,把技術方面的細節補齊,這篇文章的說服力會更高。
  • 但是,相信這篇報導也有助於提升大眾對於駭侵事件的警覺,至少能夠引起討論,一定會有一些人在看到報導之後,猛然發現原來會發生這樣的事。
  • 會來看我這篇文章的朋友,想必是比較關心資安與數位隱私權的朋友;但你的家人朋友則未必,或是還不知道。也要麻煩各位已經有資安意識的朋友,沒事多多和那些還沒資安意識的朋友聊這個話題,幫他們啟蒙一下,功德無量,阿彌陀佛。

再推一下上星期寫的這篇,以及相關的 Podcast 節目

Like my work??
Don't forget to support or like, so I know you are with me..

CC BY-NC-ND 2.0

小心!駭客,真的,就在你身邊

1

Want to read more ?

Login with one click and join the most diverse creator community.