您與孩子使用的Apps正被秘密監控中!國際版「360兒童手錶」後門偷窺事件

您與孩子使用的Apps正被秘密監控中!國際版「360兒童手錶」後門偷窺事件
Photo Credit: 360商城

我們想讓你知道的是

「從資安角度來看,最大的問題就是竟然會有這個後門。諸如竊聽、偷拍等等問題並不是來自(粗心的)軟體漏洞、設定錯誤或誤用老舊(因而不安全的)通訊協定。這是刻意設計的功能。他們到底想要做什麼?」

文:洪朝貴(朝陽科技大學資訊管理系副教授)

奇虎科技所出產的360兒童手錶在台灣並不是特別流行,但或許是拜北京新浪新聞台灣網站大力推薦之賜,這款產品在兒童手錶的臉書社團裡也還蠻常被提及,且蝦皮、淘寶、Yahoo奇摩拍賣上面都買得到。它的國際版委由Xplora公司代銷,在歐洲銷售得不錯;從今(2020)年9月起,也在美國銷售。至今,Xplora的代銷版本在全球共有40萬用戶。

有趣的是,這隻手錶有一個後門(backdoors):奇虎及Xplora兩家公司有能力從遠端啟動監控模式,在小朋友(當然大人也是)無法察覺的情況下,啟動相機拍照並回傳至其雲端,以及進行其他諸如查詢目前位置等的監控⋯⋯

小心!您與孩子使用的Apps正被秘密監控中

Xplora在北歐特別流行,而這個後門也是由挪威的資安公司Mnemonic所揭發。研究人員透過逆向工程研究360兒童手錶的程式碼,發現(並且成功地測試)只要傳送一個加密過的簡訊給這隻手錶,就可以無聲無息地觸發上述偷拍。這隻手錶採用Android 7牛軋糖(Nougat)作業系統,一開機就會啟動一個名為「Persistent Connection Service」的可疑客製程式。

在資安攻防領域裡,有一類常見的「進階持續性滲透攻擊(Advanced Persistent Threat, APT)(註)」,而在受害者的電腦或手機等裝置中,需要有一個隨時待命、接收攻擊方指令的關鍵程式,這個Persistent Connection Service的名稱與功能都符合APT的這個角色。

它會逐一檢查手錶上的所有應用程式(Apps),看看其中有哪些可以接受遠方下達的指令。(筆者按:這是否意謂著,以後奇虎可以透過正常的Apps市集管道來推出更多具有更先進遙控偷窺監控的Apps,直接升級監控功能?)

​​

註釋:泛指一類進階的電腦入侵型態,透過各種隱匿的方式頑強地長駐在受害者的裝置上,目的就是要長期、持續地對用戶蒐集情報。

​​

除了偷拍功能之外,研究人員在程式碼中還發現360版的「聯絡人」App,為遠方攻擊者提供了WIRETAP_ INCOMING跟WIRETAP_BY_CALL_BACK這兩個服務。顧名思義,筆者猜測應該就是「竊聽來電」跟「視需要竊聽」。另外,還有一個SEND_SMS_LOCATION服務,貌似可以透過簡訊將兒童目前位置傳回給攻擊者。

後門的設定,絕非無心之過

誰能夠寄送加密簡訊啟動這些監控與竊聽呢?首先要知道,遙控者必須知道受害者的「電話號碼」,以及原廠為這支手錶所設定的「加解密金鑰」。如Mnemonic兩位研究人員這類有機會接觸過手機一段時間的高手當然可以,而Xplora與奇虎兩家原廠當然也不例外。

揭發此事的研究人員明確表示:「從資安角度來看,最大的問題就是竟然會有這個後門。諸如竊聽、偷拍等等問題並不是來自(粗心的)軟體漏洞、設定錯誤或誤用老舊(因而不安全的)通訊協定。這是刻意設計的功能。他們到底想要做什麼?」

來自言論管制社會的產品,全面監控是日常必須

此外,根據中國〈網路安全法〉第28條:「網路運營者應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助。」習慣享受言論與上網自由的台灣人,可能會忽略一件至為明顯的事:企圖檢視被防火長城所阻擋的資訊,在中共眼裡算不算是「犯罪」、算不算是「危害國家安全」呢?

如果連西方記者把微信密碼改成「fuckccp89」都會被偵測到並且迅速被封鎖帳號,如果連抖音的國際版Tiktok都會側錄剪貼簿、蒐集兒童個資,你還能期待中共對於本土的Apps,會願意放棄任何控制權嗎?採用任何來自中國、沒有原始碼的Apps,就是直接放棄隱私,日夜不設防地裸奔給中國共產黨看。以硬體來說,購買了(裝有諸多Apps的)中國電子資訊產品卻不會或不打算刷機,也是一樣的效果。

尤其,奇虎360公司從2010年至今,欺騙用戶的爭議行為層出不窮,乃至履履引發蘋果、小米、華為、聯想、酷派、OPPO等公司因資安考量而全面下架360產品,可以說是經過多方認證的專業惡意軟體公司。把自家小孩子的行蹤與通話交給它照顧⋯⋯需要很大的勇氣與信仰呢!

參考資料

  • 〈360兒童手錶S1體驗:能學習的電話手錶〉,北京新浪網,2020年3月13日。
  • 臉書社團「兒童智能手錶智慧手錶討論區」。
  • Harrison Sand and Erlend Leiknes, Exposing covert surveillance backdoors in children’s smartwatches, mnemonic, 2020.
  • 〈中华人民共和国网络安全法〉,中国信息安全测评中心,2016年11月7日。
  • 〈記者微信密碼改「FuckCCP89」稱45秒內被永久封號〉,《自由時報》,2020年6月5日。
  • 〈蘋果iOS 14揭抖音偷窺iPhone剪貼簿 用戶密碼全都露〉,中央社,2020年6月28日。
  • 〈360相關爭議〉,維基百科。

本文經科學月刊授權刊登,原文刊載於此

責任編輯:朱家儀
核稿編輯:翁世航