我們想讓你知道的是
「從資安角度來看,最大的問題就是竟然會有這個後門。諸如竊聽、偷拍等等問題並不是來自(粗心的)軟體漏洞、設定錯誤或誤用老舊(因而不安全的)通訊協定。這是刻意設計的功能。他們到底想要做什麼?」
文:洪朝貴(朝陽科技大學資訊管理系副教授)
奇虎科技所出產的360兒童手錶在台灣並不是特別流行,但或許是拜北京新浪新聞台灣網站大力推薦之賜,這款產品在兒童手錶的臉書社團裡也還蠻常被提及,且蝦皮、淘寶、Yahoo奇摩拍賣上面都買得到。它的國際版委由Xplora公司代銷,在歐洲銷售得不錯;從今(2020)年9月起,也在美國銷售。至今,Xplora的代銷版本在全球共有40萬用戶。
有趣的是,這隻手錶有一個後門(backdoors):奇虎及Xplora兩家公司有能力從遠端啟動監控模式,在小朋友(當然大人也是)無法察覺的情況下,啟動相機拍照並回傳至其雲端,以及進行其他諸如查詢目前位置等的監控⋯⋯
小心!您與孩子使用的Apps正被秘密監控中
Xplora在北歐特別流行,而這個後門也是由挪威的資安公司Mnemonic所揭發。研究人員透過逆向工程研究360兒童手錶的程式碼,發現(並且成功地測試)只要傳送一個加密過的簡訊給這隻手錶,就可以無聲無息地觸發上述偷拍。這隻手錶採用Android 7牛軋糖(Nougat)作業系統,一開機就會啟動一個名為「Persistent Connection Service」的可疑客製程式。
在資安攻防領域裡,有一類常見的「進階持續性滲透攻擊(Advanced Persistent Threat, APT)(註)」,而在受害者的電腦或手機等裝置中,需要有一個隨時待命、接收攻擊方指令的關鍵程式,這個Persistent Connection Service的名稱與功能都符合APT的這個角色。
它會逐一檢查手錶上的所有應用程式(Apps),看看其中有哪些可以接受遠方下達的指令。(筆者按:這是否意謂著,以後奇虎可以透過正常的Apps市集管道來推出更多具有更先進遙控偷窺監控的Apps,直接升級監控功能?)
註釋:泛指一類進階的電腦入侵型態,透過各種隱匿的方式頑強地長駐在受害者的裝置上,目的就是要長期、持續地對用戶蒐集情報。
除了偷拍功能之外,研究人員在程式碼中還發現360版的「聯絡人」App,為遠方攻擊者提供了WIRETAP_ INCOMING跟WIRETAP_BY_CALL_BACK這兩個服務。顧名思義,筆者猜測應該就是「竊聽來電」跟「視需要竊聽」。另外,還有一個SEND_SMS_LOCATION服務,貌似可以透過簡訊將兒童目前位置傳回給攻擊者。
後門的設定,絕非無心之過
誰能夠寄送加密簡訊啟動這些監控與竊聽呢?首先要知道,遙控者必須知道受害者的「電話號碼」,以及原廠為這支手錶所設定的「加解密金鑰」。如Mnemonic兩位研究人員這類有機會接觸過手機一段時間的高手當然可以,而Xplora與奇虎兩家原廠當然也不例外。
揭發此事的研究人員明確表示:「從資安角度來看,最大的問題就是竟然會有這個後門。諸如竊聽、偷拍等等問題並不是來自(粗心的)軟體漏洞、設定錯誤或誤用老舊(因而不安全的)通訊協定。這是刻意設計的功能。他們到底想要做什麼?」
來自言論管制社會的產品,全面監控是日常必須
此外,根據中國〈網路安全法〉第28條:「網路運營者應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助。」習慣享受言論與上網自由的台灣人,可能會忽略一件至為明顯的事:企圖檢視被防火長城所阻擋的資訊,在中共眼裡算不算是「犯罪」、算不算是「危害國家安全」呢?
如果連西方記者把微信密碼改成「fuckccp89」都會被偵測到並且迅速被封鎖帳號,如果連抖音的國際版Tiktok都會側錄剪貼簿、蒐集兒童個資,你還能期待中共對於本土的Apps,會願意放棄任何控制權嗎?採用任何來自中國、沒有原始碼的Apps,就是直接放棄隱私,日夜不設防地裸奔給中國共產黨看。以硬體來說,購買了(裝有諸多Apps的)中國電子資訊產品卻不會或不打算刷機,也是一樣的效果。
尤其,奇虎360公司從2010年至今,欺騙用戶的爭議行為層出不窮,乃至履履引發蘋果、小米、華為、聯想、酷派、OPPO等公司因資安考量而全面下架360產品,可以說是經過多方認證的專業惡意軟體公司。把自家小孩子的行蹤與通話交給它照顧⋯⋯需要很大的勇氣與信仰呢!
參考資料
- 〈360兒童手錶S1體驗:能學習的電話手錶〉,北京新浪網,2020年3月13日。
- 臉書社團「兒童智能手錶智慧手錶討論區」。
- Harrison Sand and Erlend Leiknes, Exposing covert surveillance backdoors in children’s smartwatches, mnemonic, 2020.
- 〈中华人民共和国网络安全法〉,中国信息安全测评中心,2016年11月7日。
- 〈記者微信密碼改「FuckCCP89」稱45秒內被永久封號〉,《自由時報》,2020年6月5日。
- 〈蘋果iOS 14揭抖音偷窺iPhone剪貼簿 用戶密碼全都露〉,中央社,2020年6月28日。
- 〈360相關爭議〉,維基百科。
責任編輯:朱家儀
核稿編輯:翁世航
Tags:
【一圖看懂】HCG免治馬桶:全新電解除菌水潔淨科技,全方位抗菌守護屁屁

我們想讓你知道的是
居家清潔馬桶,總是讓你覺得繁瑣又疲累嗎?每天如廁的馬桶,清潔及抗菌能力可是比任何其它家具、家電更重要。選擇有效抗菌加上舒適的體驗節能的設計,就能讓你在家放鬆解放的時候,心情也一起上天堂啦!
根據BBC報導,在2010年時,英國舉辦了一次讓民眾選出史上最偉大發明的投票,其中抽水馬桶排行第九名,比引擎還高一名。
作為史上最偉大發明第九名的抽水馬桶,前身可以追溯到西元前的羅馬時代,從只是一個有排水系統的溝槽,到現代化的獨立抽水馬桶,我們觀察到除了科技的進步,以及人們對如廁時舒適度的要求之外,近年來更進化到必須具備可以主動去除病菌、維持整體潔淨的種種設計,畢竟馬桶與生活密切相關,又是與身體親密接觸的家電,要怎麼讓人用得乾淨、舒服又健康,就是身為馬桶的使命。

電解除菌水,加碼抗菌超乾淨
每天都要和屁屁親密接觸的馬桶,清潔之餘還能主動抗菌、杜絕二次污染很重要。HCG免治馬桶的抗菌潔淨科技,與工研院產研合作全球首創電化學除氯技術可以將自來水電解之後,把氯轉化成無害氯離子形成的電解水,在清除污垢的同時,也達到除菌的作用,整個過程都無需使用任何化學藥劑或清潔劑;更棒的是,電解除菌水在一段時間之後,就會自動還原成自來水。乾淨、抗菌、安心、安全,討厭的壞菌不見了,也不會對我們生活的環境帶來更多負擔。
全然的舒適體驗,屁屁最知道
每一次使用馬桶,你都花上多少時間呢?無論時間長短,HCG希望為每一次的如廁體驗,帶來純粹的放鬆和舒適。HCG使用全球唯一可促進微循環之生物能陶瓷材料製成座墊,能放射4-14微米遠紅外線光波,促進人體血液循環,預防久坐之後腿部痠麻。還有聰明的負離子循環除臭,一入座便感應啟動,不用擔心臭味擾人或自擾。
恆溫節能不浪費,對地球好對錢包更好
寒流來襲時,突然接觸到冰冷的馬桶座墊而被嚇一跳的感覺,是許多人的共同經驗。HCG免治貼心暖座功能,一坐下就好溫暖,搭載瞬熱式溫感水洗利用陶瓷瞬間加熱技術有效節能30%,不會因持續加熱浪費能源,也不會為了節能而忽冷忽熱,使用流動活水更為乾淨衛生。讓你在使用馬桶的時候,不管是肌膚接觸到的地方,或者是心裡的感受,都是恰到好處的最佳溫度。
前一陣子,公共廁所要升級成免治馬桶的議題,讓大家紛紛討論起馬桶該有哪些先進設計,才能讓人用起來舒適又安心。其中最多人在乎的,莫過於馬桶的清潔問題,HCG免治馬桶採用抗菌樹脂材質便座,免除衛生隱憂,如座更安心舒適,第二道清潔防護,利用電解除箘水,自主清潔、抗菌,整體材質都通過SGS檢驗測試,有效抗菌程度高達99%,再加上唯一落實全機台灣在地生產製造,不混充國外代工的高保障品質,全方位提升衛生標準、滿足使用者需求的HCG免治馬桶,就是新世代家庭中,守護屁屁的最佳夥伴。