针对中国制手机、路由器、扫地机器人回传资讯到中国问题,台湾基进党9日建议,NCC(中华民国国家通讯传播委员会)应鼓励业者申请资安认证,通过认证让民众安心购买产品,并提出干净资安需要标示认证、防堵洗产地、政府应注意中国可能透过第三地接收台湾相关数据、资讯、加强采购法,希望政府带头把关。
物联网工程师SAM提到,他接到客户陈情,使用扫地机器人时,家中防火墙突然短时间内传输非常大量的资料。SAM利用程式分析资讯路径图发现,扫地机器人APP将讯息传回位于中国的服务器,由于扫地机器人的服务架设于阿里巴巴的阿里云,APP将资讯透过香港、新加坡、日本的服务器,跳转回中国的服务器。
他说,只要把资讯丢到中国,“手机、扫地机器人都可成为中共来看你家的间谍”。
SAM指出,该款扫地机器人,是在募资平台FlyingV上募资设立的公司所生产的产品,使用前要求存取的权限,比欧美同价位的扫地机多一倍。
软体自由协会常务理事翁佳骥说,手机、路由器、扫地机器人回传资讯到中国,关键在控制硬体的软、韧体系统,让“产品做了哪些它没有讲说要做的事情”,这牵涉资安意识。例如:目前引发中资疑虑的区间测速照相APP,除了算速度之外,会不会征用其它资料?会不会用来侦测、追踪特定车牌、车子的行踪,后端系统谁做的?制作后端系统的厂商本身中资参与多少?
翁佳骥指出,资安认证程序非常重要,资安认证程序本身也必须要够透明,希望政府单位采购、租赁、请厂商建置的系统必须开放源码,让系统开放透明可供民众检视。目前爱沙尼亚与意大利采购法已经明定,政府单位要采购或建置政府单位所使用的系统时,必须以现有自由开源的软体解决方案为首要选项。
立委陈柏惟表示,中国(中共)偷窃全世界信息传回中国进行超限战,且“中国是使用你的资料不会告诉你的国家”。像扫地机器人装载有镜头,避免撞墙壁同时画出房间的地图。由于操作扫地机器人需透过手机操作App并开放权限,所以手机中的通话记录、照片、影片、手机ID与购买时间、相机功能等都有可能被传回中国;传输的资料是加密封包,无从得知传输什么内容。
陈柏惟强调,重视资讯安全就是重视个人安全,政府有必要提醒所有民众,自己的秘密是应该保存、有价值的情报,且政府应该立法保护民众。
- 来源:大纪元2021年02月09日 《台资安漏洞 扫地机器人可将资讯回传中国》
