※ 引述《devidevi (凯特)》之铭言:
: ※ 引述《youhow0418 (ㄈ87b3)》之铭言:
: : TVBS
: : 资安漏洞?陈柏惟批扫地机器人 沦陆监控工具
: : 记者 林耿贤 报导
: : 基进党立委点名,募资平台上的一款“扫地机器人”,疑似利用使用者手机APP,将个资
: : 回传到到大陆,批评大陆制家电有资安隐患,呼吁政府应该订出规范,防堵民众个资被大
: : 陆掌握。
: : 扫描家中路径,能吸能扫还能拖地,甚至还有远端即时监看功能,这款你我熟悉不过的扫
: : 地机器人,在募资平台上募资超过五千万,现在被立委陈柏惟点名有资安疑虑。
: : 立委陈柏惟:“以开放的权限来看,你人在哪里你使用纪录,下载什么软件你说了什么话
: : ,你WIFI的连线是哪一台,你设备ID跟通话纪录,全都可以传(往大陆)。”
: 可以传,跟实际上有传是两件事
: 可以传
: 只要扫地机器人能连到你手机,你手机能连到大陆,这样就能传到大陆
对 是两件事
能够有利用价值的资料包含哪些?
姓名 email 手机号码 WiFi帐号 WiFi密码 甚至可以定位你的地图位置
加起来可能长度不超过200字,不到1k
回传时间只需要不到1秒就能完成
除非你24小时无间断地监控分析被传回的数据
否则你几乎只有千万分之一或是比民乐透还小的机率能够观测到那一秒不到的事情
有了WiFi帐号 WiFi密码 就可以骇入你的局域网路
如果你有装监视器、NAS、智慧音箱、个人电脑 就有可能被骇入
如果你的智慧喇叭有开启权限能够查询你的Google联络人
查询你的Google Calendar 查询你的Gmail 查询你的短信
监听你和家人的谈话 这些都没有不可能
因为他有能力取得你不到1k长度的个人资料
因为你几乎无法察觉那1秒的回传动作
随着时间的累积和攻击次数的增加
我刚刚提到的那些资安风险都是可能的
虽然个人不欣赏删Q譁众取宠的个人作风
但是资安风险真的必须料敌从宽
骇客的动作往往也是在平时不启动 根本不可能察觉
等到要发动攻击的时候 同时超过百万台主机被攻陷被跳板
就可以瘫痪想瘫痪的各种设施
不容小觑
: 实际上有传
: 是要扫地机器人实际上有传资料到你手机,再经过你手机传到大陆
: 要检查有没有传可以拿一个手机,
: 闲置时没有上传资料任何资料的手机
: 然后跟扫地机器人连线
: 如果连线后,手机有上传资料到网络上
: 就可以怀疑有人在蒐集资料
: (还可以根据上传资料大小判断传输内容,如果只是蒐集使用者习惯,只需要几K
: 如果上传几M,或是几百M,就代表有声音或影像资料)
: (更厉害的网络高手还可以破解资料封包,知道传了哪些东西)
: 如果能证明,
: 应该要求政府立刻下令停止该款扫地机器人的使用,
: 而不是等政府立法,这样太慢...
: 不要只有怀疑就诉诸舆论,让舆论攻击
: 拿出证据来,请政府下令禁止使用,
: 用法律规范,才是正确的做法