【錯誤】網傳「中國抖音與小紅書有木馬程式,透過個人專屬IP可以比對出身分證個資並表列談話紀錄」?
事實查核報告#2521
網傳「中國抖音與小紅書有木馬程式,透過個人專屬IP可以比對出身分證個資並表列談話紀錄」?
發布日期/2023年8月15日
經查:
【報告將隨時更新 2023/8/15版】
一、資安專家表示,手機IP是浮動的,每當手機重開機、收訊不好重新連線或電信公司基地台維修時,IP都會更換,IP也沒有跟身分證字號等個資綁在一起。因此,只透過IP,無法確定用戶的真實身分,須經過多平台交叉比對,傳言描述不正確。
二、資安專家表示,截至目前為止,還沒有任何政府或資安公司監控到抖音、小紅書有木馬程式。不過,抖音和小紅書會掌握用戶的喜好及政治傾向,據此推播一些帶風向的洗腦、滲透言論。
三、資安專家建議,為了避免個資外洩,應少使用來路不明、非官方的手機APP,更不要在手機上開放太多存取權,例如手機支付APP就會擁有用戶的信用卡資料等,風險較高。
傳言將浮動的手機IP錯誤描述為個人專屬並與身分證字號綁定,且目前國際間尚未監控到抖音及小紅書有木馬程式,因此,傳言為「錯誤」訊息。
【查核聲明】資訊若有更新,本報告亦會同步更新。
背景
通訊軟體流傳訊息指稱:
「毎台手機只有一個IP,中國透過抖音與小紅書置放木馬程式,透過IP可以表列記錄每個人的談話內容,入境時可以用身分證號碼表列出來!」
圖1:通訊軟體流傳訊息擷圖
查核
爭議點、傳言稱「中國抖音與小紅書有木馬程式」、「上網有專一的ip,可以比對出身分證個資並表列談話紀錄」,是否屬實?
(一)查核中心採訪資安專家、趨勢科技全球消費者市場協理劉彥伯。劉彥伯表示,手機IP為浮動,只用IP無法確定用戶的真實身分,須經過多平台交叉比對,也不是APP有植入木馬程式就能得到用戶所有的通話內容,傳言描述並非事實。
劉彥伯表示,每支手機都有一個行動裝置國際識別碼(IMEI),每換一支手機,識別碼就會跟著改變;至於傳言稱「上網有專一的IP」是錯誤的,因為手機IP是浮動的,每當手機重開機、收訊不好重新連線或電信公司基地台維修時,IP都會更換,IP也沒有跟身分證字號等個資綁在一起。
劉彥伯舉例說,有極少數情況可以從IP比對出真實身分,例如用戶先在實名制的微博批評中國,接著馬上又用抖音看影片,由於短時間內IP尚未變更,的確有可能透過比對IP而得知用戶身分;又或者,假如用戶註冊各平台時使用的email都是同一個,例如臉書跟小米產品都用同一個email註冊,也比較可能比對得出來。
劉彥伯表示,截至目前為止,還沒有任何政府或資安公司發現抖音、小紅書有木馬程式。他說,抖音和小紅書目前有做的是掌握用戶的喜好及政治傾向,據此推播一些帶風向的洗腦、滲透言論給用戶看;且帳號綁定、上傳影片或照片後,業者可掌握用戶的許多資料,而中國政府又可以要求業者上繳會員資料,易引發爭議。
(二)國立成功大學資訊工程學系特聘教授高宏宇表示,手機上網IP並非獨一無二,是通信商分配給使用者的,僅有固網才有固定IP,手機的連網通常為浮動或是虛擬IP,因此傳言稱用IP就可以比對出用戶真實身分、透過IP可以下載談話紀錄等,應該是不太可能。
另外,高宏宇也表示,國際上有不少人在監控與測試APP有無木馬程式,但至目前為止,抖音、小紅書等應該沒有植入木馬,只是APP會蒐集用戶資料而已。
綜合以上,手機IP是浮動的,也沒有跟身分證字號等個資綁在一起,只透過IP,無法確定用戶的真實身分,須經過多平台交叉比對;此外,截至目前為止,還沒有任何政府或資安公司監控到抖音、小紅書有木馬程式,傳言描述不正確。
結論
【報告將隨時更新 2023/8/15版】
一、資安專家表示,手機IP是浮動的,每當手機重開機、收訊不好重新連線或電信公司基地台維修時,IP都會更換,IP也沒有跟身分證字號等個資綁在一起。因此,只透過IP,無法確定用戶的真實身分,須經過多平台交叉比對,傳言描述不正確。
二、資安專家表示,截至目前為止,還沒有任何政府或資安公司監控到抖音、小紅書有木馬程式。不過,抖音和小紅書會掌握用戶的喜好及政治傾向,據此推播一些帶風向的洗腦、滲透言論。
三、資安專家建議,為了避免個資外洩,應少使用來路不明、非官方的手機APP,更不要在手機上開放太多存取權,例如手機支付APP就會擁有用戶的信用卡資料等,風險較高。
傳言將浮動的手機IP錯誤描述為個人專屬並與身分證字號綁定,且目前國際間尚未監控到抖音及小紅書有木馬程式,因此,傳言為「錯誤」訊息。
【查核聲明】資訊若有更新,本報告亦會同步更新。
補充資料
用戶使用手機APP時如何保護個資?
高宏宇建議,應盡量少使用來路不明、非官方的手機APP,更不要在手機上開放太多存取權,例如手機支付APP就會擁有用戶的信用卡資料等,風險較高。他解釋,中國APP的資安風險在於,當中國政府需要某些資訊時,企業就必須交出,用戶個資較無保障。
劉彥伯表示,如果用戶只是單純看抖音、小紅書,沒有註冊,基本上是安全的,就算對方得知識別碼或IP,但這些資訊都會變動,不會被對方掌握真實身分。另外,用戶不授權APP使用麥克風、相機鏡頭,關閉用不到的權限,以及使用不同帳號及信箱登入不同平台等,也會比較安全。
劉彥伯也提醒,比起抖音、小紅書,中國淘寶APP更值得注意,因為淘寶會綁定手機門號、信用卡資料、收件地址等個資,又會要求麥克風與相機授權,且最新版本經常不會放在App Store和Google Play等官方應用商店,能夠避開官方偵測,資安風險較大。