禁用中國手機的議題近日炒得沸沸揚揚,科技公司執行長林宜敬近日在個人臉書發文分析華為的手機是否安全,以及講述模擬手機廠商是如何蒐集個資,包括利用「進階持續性威脅(APT)」9 個步驟,就可以得知朋友是否有小三,甚至小三的電話號碼和三圍都可以知道。
林宜敬在個人臉書發文,先是以「如何找到杜先生的朋友David?」為題做了情境模擬。
此外,林宜敬也另外假設一個題目為「H牌手機廠商,想要知道杜O宸先生手機上的那位David究竟是誰?」然後列舉「進階持續性威脅(APT)」9個步驟,再列舉詳細的過程與推演手法。
一、首先,我們會發出一個廣播訊息,要求所有的繁中版 H 牌手機都下載一段「更新程式」。
二、這段下載的更新程式中,包含了幾行程式碼,會去檢查那一台手機上的通訊錄當中,是否有「杜O宸」的手機電話?如果發現了,就把包含那個手機電話號碼的通訊錄條目上傳到總公司的研究部門。
這段程式在執行完畢之後,就自動把自己刪除掉,不要留下任何痕跡。
三、由於同名同姓的人很多,所以 H 公司的研究部門會收到上千條、或甚至上萬條關於「杜O宸」的通訊錄條目,但是我們稍加比對之後就會發現,有許多關於「杜O宸」先生的通訊錄條目,包含了「工研院」這個關鍵字,而且它們都是指到同一支手機號碼。
於是我們就可以合理判斷,那個手機電話號碼就是杜先生的。
四、我們再發出第二個廣播訊息,要求所有的繁中版的 H 牌手機另外下載一段「更新程式」。
五、這段下載的更新程式中,包含了幾行程式碼,會去檢查那一台手機的電話號碼是不是跟杜先生的手機號碼相同?如果相同,就去他的通訊錄當中,把所有標示為 “David” 的通訊錄條目都上傳到總公司的研發部門。同樣的,這段程式在執行完畢之後,就自動把自己刪除掉,不要留下任何痕跡。
於是我們就有了杜先生手機上的 David 的電話號碼。
六、我們再發出第三個廣播訊息,要求所有的繁中版的 H 牌手機另外下載一段「更新程式」。
七、這段下載的更新程式中,包含了幾行程式碼,會去檢查那一台手機上的通訊錄當中,是否有 David 的手機電話號碼?如果發現了,就把包含那個手機電話號碼的通訊錄條目上傳到總公司的研究部門。同樣的,這段程式在執行完畢之後,就自動把自己刪除掉,不要留下任何痕跡。
八、於是我們會蒐集到上千條、或甚至上萬條關於 David 這個人的通訊錄條目。稍加整理之後,我們就可以知道他的真實姓名是什麼?在哪裡上班?家裡的住址在哪裡。
