美國資安公司 Palo Alto Networks日前的 最新報告揭露在美國下載總數超過 600 萬的「百度(手機百度)」、「百度地圖」內含間諜軟體,會將用戶的手機相關資料傳回中國,其中比較擔憂的是包含 IMEI、MAC、IMSI 等數據 。Palo Alto Networks 指出若網路犯罪份子用掌握諸如IMSI或IMEI之類的數據,就有可能使用它來進行電話竊聽,並進行遠程鎖機!!!???
由於手機IMEI碼被取得的難度並不高,手機IMEI碼一旦被洩漏,手機就會被禁用、遠程鎖機及竊聽嗎?盜聽或遠程鎖機嗎 ? 以下就一說明與解析:
1.百度與百度地圖洩漏了哪些資訊?
美國資安公司 Palo Alto Networks 最新報告指出,透過機器學習檢測間諜軟體,在 Google Play 發現多款危險的 App,其中就包含知名的「百度」、「百度地圖」,兩者在美國下載總數就超過 600 萬。根據百度在2020年11月報告: “到2020年,百度App的每日活躍用戶(“ DAU”)達到2.06億,每月活躍用戶(“ MAU”)達到5.44億,這意味數億用戶讓自己手機敏感資訊都有被外洩的風險
據該報導指出,百度透過名為「PUSH」的 SDK 套件,除了可以得知用戶的手機型號、螢幕解析度、Android ID 等基本資料,比較令人擔憂的是包含 IMEI、MAC、IMSI 等數據。IMEI 可用來持續追蹤特定手機,至於 IMSI 主要是與 SIM 卡有關,Palo Alto Networks 指出網絡犯罪分子若取得IMSI或IMEI之類的數據,就可以使用主動和被動IMSI捕獲器之類的方法來監聽來自手機用戶的信息。一旦獲取了這些數據,網絡犯罪分子就可以對用戶進行描述並進一步提取有關他們的敏感資訊。例如,如果網絡罪犯掌握了電話的IMEI號碼,則他們可以使用它來謊報電話被盜,並觸發電信商禁用該設備並阻止其使用行動上網。網絡罪犯或國家行為者也可能濫用此數據,以侵犯用戶的隱私權,並利用洩漏的信息來攔截電話或短信。如果網絡罪犯或國家行為者攔截以純文本或弱加密方式傳輸信息的消息,則可能使用戶面臨更大的風險。
不過,經Palo Alto Networks 已提交相關報告檢舉後,Google 一度讓「百度(手機百度)」、「百度地圖」下架,前者在修改程式碼後已經重回 Google Play,後者則尚未重新上架。百度官方向外媒《Forbes》回應,正在按照 Google 的指南更新百度地圖,預計在 12 月初回到 App 商城,但百度未進一步解釋下架原因。另外,台灣的Google Play目前並沒有下架「手機百度」及「百度地圖」。據該報導內容來看,百度這兩款APP只是違反「Android的最佳做法指南」中建議不要收集諸如IMSI或MAC地址之類的標識而已,並沒有證據內含間諜軟體。
2.IMEI碼被洩漏,手機就會被禁用、遠程鎖機及竊聽嗎?
A.IMEI碼是什麼?
IMEI(International Mobile Equipment Identity number,國際移動設備識別碼),俗稱”手機序號或手機串碼”,用於在行動網絡中識別每一部獨立的手機,相當於手機的身份證號碼。IMEI一般是15碼阿拉伯數字. 前八碼數字(TAC,T類型分配碼),是區分手機品牌和型號的編碼。其中TAC碼前兩位是授權IMEI碼分配機構的代碼,如01為美國CTIA,35為英國BABT,86為中國TAF。第9~14碼數字(SNR,序列號),區分每部手機的生產序列號。第15碼數字(CD,驗證碼),由前14位數字通過Luhn算法計算得出驗證碼。
在以前,透過IMEI碼一度成為判斷手機是否是正品手機的重要標準,目前IMEI碼主要是用來辨識用戶是使用哪一款手機及手機若失竊可用來報案做為找回的方法之一。
B.知道IMEI就會被被禁用、遠程鎖機及竊聽?
掌握IMEI號碼就可以讓電信業者讓手機被禁用嗎?
報導指出網絡犯罪分子若掌握IMEI號碼就可以向電信業者謊報電話被竊而被暫停使用,但目前多數國家(包含台灣)都是採取手機與SIM分離方式,若手機裡面的SIM遺失或失竊,若要向電信業者申請掛失,並不需要提供手機IMEI號碼,而是要告知「電話號碼」或是「SIM卡號」,加上電信業者客服也會詢問用戶個資或必須登入網路帳號來確保是本人來掛失,所以知道手機的IMEI號碼在台灣並無法讓電信業者用禁用該手機使用的門號或是讓手機無法使用。
掌握IMEI號碼就可以讓電信業者讓手機被禁用嗎?
GSM核心網設計了EIR(Equipment Identity Register),一台手機的IMEI是在設備識別寄存器EIR中,透過修改EIR中黑名單存有的設備識別碼,理論上是可以禁用相應的設備。不過,現在的智慧型手機多數都是手機與SIM分離設計,再加上要進行遠程鎖機,不可能只要知道IMEI碼就可以單獨辦到,必須有其他配套方式搭配才行。
以iPhone為例,若要遠程鎖機,除了知道手機IMEI碼訊息外,必須登入APPLE ID及該手機必須在上網狀態下才有辦法「啟動鎖定」。換言之,Apple ID和IMEI碼是iPhone被鎖定的兩個關鍵要素,缺一不可。IMEI碼被洩漏但APPLE ID沒有外洩,手機仍是非常安全的。
掌握IMEI號碼就讓手機被竊聽嗎?
至於手機要被竊聽,一則要透過用戶所屬電信業者機房、二則手機要被置入竊聽軟體或硬體。前者「監聽」要依《通訊保障及監察法》之規定,由警察機關備妥相關資料向法院來聲請「監聽票」,經法院核准之後才能監聽;後者被竊聽是透過監聽軟體,與IMEI碼無關。 百度非電信業者也非警調人員,就算取得IMEI碼也沒辦法對該用戶進行監聽。
不過,不少知名APP(如Facebook、Instagram、Google..)都曾被外界懷疑透過手機麥克風被授權的方式竊聽用戶,若用「Listen」(竊聽)和「Phone」(手機)同時作為關鍵詞在 Google 搜索,可以輕易搜出6930萬條相關報導,「 Facebook 與 Instagram是否在監聽我講話」一直以來都是網友熱門討論的議題。
根據專家指出,這些被懷疑竊聽的知名APP想要「竊聽」一個人的訊息與狀態,有太多太多的方法,除了透過麥克風竊聽談話來獲取用戶訊息外,也可以從用戶所處的地理位置、電子郵件上隱含的工作地址、在社群媒體上的互動、發佈的內容,甚至社交媒體上一個微不足道的一個讚等等用AI大數據的方式將用戶的偏好與行為蒐集並轉換為暴露在廣告商的目光之下,竊聽用戶的語音談話的數據太大且對廣告商的意義不大,並沒有證據可以證明知名APP會對用戶用麥克風做實質監聽作為,就算把麥克風關閉,也無法阻止這些APP可以快速推播相關廣告。
總之,IMEI碼只是用來辨識用戶是使用哪一款手機及手機失竊用來報案做為找回的方法之一。IMEI碼洩漏就會被禁用、遠程鎖機及竊聽基本上只是資安公司危言聳聽的說法,大家毌須杞人憂天。至於「百度」、「百度地圖」安不安全,見仁見智,擔心的人就把它刪掉就是。