零、事件解说
网友pe3zx在GitHub发布了一个专案,并张贴于Reddit,文章重点:
1.华为P30 Pro会回传资料给中国。
2.如何阻挡回传资料给中国。
接着射后不理哥将文章转贴至PTT通讯板。
(射不哥在这次事件有后续回应追踪,值得嘉奖,希望继续保持)
一、pe3zx的研究方法
1.pe3zx使用P30 Pro主动输入baidu.com并连接。
2.在DNS Log中发现系统会要求解析多个中国网域。
3.多个中国网域中包含一个.gov.cn网域。
wait wait wait what
https://i.imgur.com/yOSx7rW.jpg
你主动输入并连接baidu.com,然后非常惊讶你的资料会传输到中国?
https://i.imgur.com/Kvqm1Mc.png
这跟是不是用华为P30 Pro没任何关联阿,你就算用Nokia 3310也会阿。
二、为何连上baidu.com会出现beian.gov.cn
1.在中国营运的网站都必须要通过所属通信管理局审核。
2.普通小企业或个人网站,没有处理敏感资料者,备案后可以得到一串ICP备案号。
该类网站若没有备案号,可以直接查封,DNS阻断关站。
3.大型企业、电子交易或有经手敏感资料者,需要申请ICP许可,得到许可证书。
许可证申请除了资本财力证明,还需要保人、实体公司审核等族繁不及备载麻烦条件,
该类网站若没有ICP许可证书,一样也是直接关站,然后罚款。
4.若有ICP许可但通信管理局没查到,关站后再行申诉复站。
5.为了避免有了备案号甚至花了大量人力物力取得的许可证,还被乌龙关站,
多数大型网站会在加入案号或证号,以及连结证书网页,官方巡网站时可比对序号查核。
加入方式:
可以加在CSS内或HTML内,CSS的好处是平常可以不显示证号,
简易的在不同载具有不同效果,
使用者透过不同的User Agent浏览网页时,可以显示或不显示证号。
6.以百度为例,摊开原始码检视:
view-source:https://www.baidu.com/ (可将左方这串完整贴到Chrome开启)
百度将证号写在<body>中,在前端网页直接显示:
a class="recordcode"
href="http://www.beian.gov.cn/portal/registerSystemInfo?recordcode=11000002000001"
target="_blank"><i></i>京公网安备11000002000001号</a>
三、pe3zx的研究方法,主动输入baidu.com不是最大的错误
DNS Log只是要求域名的解析,实际上称不太上世俗定义的“回传资料”。
的确是有传输资料没错,但主要是通过UDP走传输层的事了,(DNS本身是应用层)
DNS封包的大小通常都是用Bytes记,总共就一个这么小的封包连一张图片都不可能传送。
而DNS封包里面会传输什么资料?
https://i.imgur.com/9kiahKo.png
主要就是你装置的IP跟Port、目标的IP跟Port,
而跟你对口的也不是那个域名,默认是你的ISP提供的DNS Server,
所以严格来说,若认为DNS解析是回传资料,那你的资料是回传给你的ISP。(如中华电信)
\中华电信好可怕,拒用中华电信/
因此查看DNS Request完全不是判断是否有回传资料的研究方法,
要查看是否有回传资料,应当要把所有应用层的封包流量都抓出来分析,
而不该是去抓DNS Log,这个方法完全没办法查看是否有偷偷回传资料。
四、华为好可怕,iPhone好棒棒
虽然说前面的文章已经完整的解说来龙去脉,
说明这件事根本与华为无关,
但还是秉持着科学精神,我们来看看用iPhone是不是就不会有这个现象发生。
测试机种:iPhone Xs Max;作业系统:iOS 12.2
以下为透过iPhone上的Safari浏览器,开启百度网站的DNS Log:
https://justpaste.it/375tx
明确的可以看见,DNS Log中有两个www.beian.gov.cn的DNS request纪录,
图片下方我也有放完整的DNS Log (.xml format),有兴趣的可以自己看。
结论:你用iPhone手动输入百度也会回传资料给中共。
(等等,云上贵州表示:你根本没需要手动输入百度才能回传资料给中国阿)
后记:
话说刚刚把文章改的更仔细后,发现原作者pe3zx已经在GitHub里面发表声明了:
As a solely maintainer for this project, please accept my deepest apologies
for mistakes which cause misunderstadning for Huawei brand and customers. The
fact that Huawei P30 Pro initated connections to beian.gov.cn is not true.
I still maintain this project for my own benefits. Please use it at your own
risk. Please see more info in next section, on an anaylsis of beian.gov.cn
简略翻译就是:
歹谢,小弟错惹,华为P30Pro会主动回传给中共的这件事是假der,
但为了偶个人的利益考量,这个专案偶还4会把它留着。
※ 引述《kouta (XXX)》之铭言:
: beian.gov.cn 网页截图:
: https://i.imgur.com/ArGLFoK.png
: reddit 讨论串:
: www.reddit.com/r/netsec/comments/bfm0t8/pe3zxhuaweiblocklist_captured_dns_requests_from/
: 缩:https://tinyurl.com/yy4nknbv
: 似乎连通以下网域(转贴自香港讨论区):
: kunlunsl.com 隶属阿里巴巴
: hicloud.com 阿里巴巴,使用不安全Symantec证书
: qq.com 腾讯
: youzanyun.com 有赞云,主要做eCommerce
: youzan.com 有赞微商城
: dbankcdn.com 华为亲情关怀服务
: baidu.com 百度
: ucloud.com.cn 阿里云
: shifen.com MarkMonitor – 百度
: bdstatic.com 百度
: beian.gov.cn 中国全国互联网安全管理平台
: nuomi.com 百度糯米
: gmw.cn 光明日报光明网
: china.com.cn
: alikunlun.com 阿里云
: 不想分享手机内容的解法:
: https://github.com/pe3zx/huawei-block-list
: 台湾八卦板的讨论:
: https://www.ptt.cc/bbs/Gossiping/M.1555880172.A.7A6.html
: 港人情报:
: martinoei.com/article/26357/%E8%8F%AF%E7%82%BA-p30-%E6%A0%B9%E6%9C%AC%E4%BF%82%E5%8D%B1%E9%9A%AA%E6%89%8B%E6%A9%9F
: 缩:https://tinyurl.com/y27sacmw
: 港人讨论情报来源:
: https://lihkg.com/thread/1118930/page/1
: https://forumd.hkgolden.com/view.aspx?type=CA&message=7046066
: 韩国人脸书讨论:
: www.facebook.com/ExWareLabs/photos/a.361854183878462/2296167797113748/?type=3&__xts__%5B0%5D=68.ARCnHzFmpwmBqQ2Q-b9JqH_FCYXPQXOac0UojD2uZH53QRp9VvPV