【Yahoo論壇／林育卉】善政啊！你是真的待過宏碁跟GOOGLE，還做過科技部長嗎？

作者為政治評論員

前行政院長張善政近日針對政府禁用中國製科技產品的政策，發表了一篇看起來感覺不像一個科技業經驗值滿點的人會講的看法。總的來說：政府禁用中國製的科技產品是搞錯方向。

他的說法主要內容歸納為三點：一是「禁止採購大陸電信設備為假議題，政治性宣示成份居多，且大陸電信設備物美價廉，廠商不會因爲政府的禁用政策就來配合。」；二是「工研院等單位，禁用華為手機完全沒有必要，因爲只要檢測APP軟體，即可避免手機被植入惡意後門，根本與硬體無關。」；最後「智慧型手機的安全，在政府部門內已有明確分工，手機硬體設備的安全性由NCC負責，而工業局則是負責APP安全檢測。」

以上三點乍聽之下，好像言之有物，但不客氣地講，全部都是畫虎蘭。

先針對善政的第一點，這一次政府公佈的政策是針對「公務機構」。民間部門除非他所提供的服務跟設備與民生國安相關，否則是「不包括」在禁用之列的。政府各部門之間，不管是個人或是部會間的資料傳遞，因事涉國家及人民，本來就要謹慎為之。有些具有高度機敏性的資料，更應採取最高標準的安全規範，這是為了人民權益、是不容妥協的。但我就不懂，過去只幫Google 蓋機房因此聲名大噪的張善政，到底是不是只懂土木專業而沒有與時俱進吸收新知，硬是竹蒿裝菜刀，拿民間廠商的採購來批判公務機關的高資安防護，善政啊！要選總統不能還沒學會走就想登天啊！

再來，工研院作為台灣工業技術研發的關鍵單位，是全民民脂民膏的成果，也成就了像台積電等科技產業的重大推手。這麼重要的單位，不是蓋個機房那麼簡單，難道也不應該有更高的安全防護要求，避免研發成果遭竊取或破壞嗎？單純如張善政認為，只要檢測APP軟體就可以讓手機避免被植入後門，跟硬體一點都扯不上邊。我雖然唸文組出身，但我都知道全世界這麼多國家共同抵制華為絕不是一時興起，一定事出有因。善政啊，別說日文、德文、法文了，我相信英文應該難不倒你，難道我們「前科技政委」不知道有「韌體」這個東西？

韌體（Firmware）一般來說是嵌入在硬體上面的程式碼，是用來告訴硬體如何執行最基礎的功能。查一下相關資料可知，只要使用電腦的人都知道，開機進入作業系統畫面前，一定都會看到BIOS（Basic Input/Output System）設定的畫面，它用來執行初始的零件檢測、電源管理、甚至保護資料功能。等到這些跑過一遍檢測沒問題，系統作業才會載入到記憶體開始執行，類比到手機上面。張善政前院長所說的APP，其實就相當於電腦進入Windows之後執行的一切應用程式，今天張善政告訴我們，只要檢查這些應用程式就可以防止被植入後門，難道是不知道寫在韌體裡的後門才是最可怕的嗎？例如想要一支手機定時回傳資料到中國去，只要有辦法在手機出廠時，利用主機板上面預載的韌體程式設定執行，那是不管APP檢測多少次都發現不到的，除非監測網路流量的異常變化才有可能發現。

這不是危言聳聽，在2014年，就是你在做科技政委後升官為行政院副院長的那年，台灣知名的科技網站iThome與網路安全公司F-Secure合作，檢查當時極度流行的紅米機是否會自動回傳資料到小米公司位於北京的伺服器，結果發現：一隻全新的紅米機，只要插入SIM卡，連上WIFI之後，就會將手機序號IMEI碼和插入SIM卡的手機號碼自動回傳，而加入通訊錄聯絡人與發送簡訊之後，紅米機竟然也將發送簡訊的聯絡人電話，回傳到北京的小米伺服器，請問有哪一個手機廠商需要知道自己手機的用戶跟誰聯絡呢？而這樣的機制，難道僅憑善政你的「APP檢測」就能發現嗎？

上述的例子，也正好打臉張善政的第三點論述。2018年，小米手機又被發現在出廠時被植入木馬程式，會自動收集用戶的各種資料回傳到中國，台灣小米公司雖然搬出自己有通過NCC的安全認證，然而NCC隨即發布聲明，表示NCC只負責檢查硬體方面的規格有無合乎法規，並沒有保證預先安裝於手機上的任何應用程式有無問題，而張善政信誓旦旦地說：工業局負責APP安全檢測，這點是沒錯，但是張善政沒有講的是，這並不是強制性的！也就是現在每個人手機裡面的APP，基本上沒有一項法規要求一定要通過工業局的安全檢測才能上架，全部都是「自主檢測」，換句話說，要不要在APP裡面藏惡意程式，全看各APP開發者的良心，工業局是沒有權力，也不可能把每個APP都拿來檢測的！從這點看來，張善政的說法根本不堪一擊，本質上就是虛偽不實的，連這一點都故意不提，實在令人懷疑張善政的居心，所以他的臉書留言中，才被一群又一群的專業人士，像杜奕瑾、翟本喬、駭客王cih狠狠打臉。

撇開一切法規與技術層面的問題，要利用科技行善或作惡，本質上都是看使用者的動機而定，就跟罌粟花一樣，它可以提煉出嗎啡幫助止痛，但也可以變成海洛因讓人陷入深淵，這樣的邏輯，套用在資訊安全上面也是一樣。在2016年，紐約時報就曾經揭露，美國的一家網路安全公司，Kryptowire，發現預先安裝在部分中國製手機，與美國低價品牌BLU手機上，由上海廣升公司開發的一款APP，竟然會每72小時偷偷回傳用戶去了哪裡，跟誰聊天，甚至短訊中寫了什麼，一股腦傳到位於上海的伺服器。而發現這種不正常傳輸模式的緣由，還是靠一名研究員因為出差而購買了BLU的手機，卻察覺到手機不正常的網路連線活動意外發現的。

至於去年華為的第二把交椅財務長孟晚舟被加拿大逮捕，原因就是華為被指控違反美國的禁運規定，向伊朗提供交換機等骨幹網路通訊設備，且這些設備的功能清單中其中一項，正是「支持安全機構實時監控用戶通信的特殊要求」，並且透過了在設備中內建「深度封包檢測」這項技術來實現，這項功能，正是中國大陸「網路長城」得以運作的關鍵，利用它，關鍵字可以在各個網站上被屏蔽，甚至被竄改，竟也被發現可以抓到誰散布這一則訊息，而這兩個例子內所包含的功能，光是靠所謂「政府檢測」，是防不勝防的。因為白天不懂黑夜的黑，一般來說檢測是針對「正常的標準」作為參考，我們起心動念不會想到要偷個資，當然根本不會去想像有任何通訊設備提供者會暗藏這些奇怪的功能在產品裡，又要怎麼去訂出這樣的標準？

回顧過往，中國製的通訊產品前科累累，現在世界主要國家紛紛對中國資通訊產品下達禁令了，難道台灣跟金剛護體刀槍不入的義和團一樣，不怕中國的滲透與監控？坦白說，現在才開始宣布禁用中國製通訊產品，我都覺得還嫌晚了。

善政啊，臨老千萬別入花叢，好不容易混到這個光鮮亮麗的地位，都有人拱你選總統了，聽你的言論，很難想像你曾經待過宏碁與GOOGLE，更難以想像你還曾經擔任過國家高速網路中心主任與科技政委呢！善政啊，心要放在台灣上，別滿腦子想著總統夢啊！

＿＿＿＿＿＿＿＿＿＿＿＿＿＿

【Yahoo論壇】係網友、專家的意見交流平台，文章僅反映作者意見，不代表Yahoo奇摩立場 >>> 投稿去