零、事件解說
網友pe3zx在GitHub發布了一個專案,並張貼於Reddit,文章重點:
1.華為P30 Pro會回傳資料給中國。
2.如何阻擋回傳資料給中國。
接著射後不理哥將文章轉貼至PTT通訊板。
(射不哥在這次事件有後續回應追蹤,值得嘉獎,希望繼續保持)
一、pe3zx的研究方法
1.pe3zx使用P30 Pro主動輸入baidu.com並連接。
2.在DNS Log中發現系統會要求解析多個中國網域。
3.多個中國網域中包含一個.gov.cn網域。
wait wait wait what
https://i.imgur.com/yOSx7rW.jpg
你主動輸入並連接baidu.com,然後非常驚訝你的資料會傳輸到中國?
https://i.imgur.com/Kvqm1Mc.png
這跟是不是用華為P30 Pro沒任何關聯阿,你就算用Nokia 3310也會阿。
二、為何連上baidu.com會出現beian.gov.cn
1.在中國營運的網站都必須要通過所屬通信管理局審核。
2.普通小企業或個人網站,沒有處理敏感資料者,備案後可以得到一串ICP備案號。
該類網站若沒有備案號,可以直接查封,DNS阻斷關站。
3.大型企業、電子交易或有經手敏感資料者,需要申請ICP許可,得到許可證書。
許可證申請除了資本財力證明,還需要保人、實體公司審核等族繁不及備載麻煩條件,
該類網站若沒有ICP許可證書,一樣也是直接關站,然後罰款。
4.若有ICP許可但通信管理局沒查到,關站後再行申訴復站。
5.為了避免有了備案號甚至花了大量人力物力取得的許可證,還被烏龍關站,
多數大型網站會在加入案號或證號,以及連結證書網頁,官方巡網站時可比對序號查核。
加入方式:
可以加在CSS內或HTML內,CSS的好處是平常可以不顯示證號,
簡易的在不同載具有不同效果,
使用者透過不同的User Agent瀏覽網頁時,可以顯示或不顯示證號。
6.以百度為例,攤開原始碼檢視:
view-source:https://www.baidu.com/ (可將左方這串完整貼到Chrome開啟)
百度將證號寫在<body>中,在前端網頁直接顯示:
a class="recordcode"
href="http://www.beian.gov.cn/portal/registerSystemInfo?recordcode=11000002000001"
target="_blank"><i></i>京公网安备11000002000001号</a>
三、pe3zx的研究方法,主動輸入baidu.com不是最大的錯誤
DNS Log只是要求域名的解析,實際上稱不太上世俗定義的「回傳資料」。
的確是有傳輸資料沒錯,但主要是通過UDP走傳輸層的事了,(DNS本身是應用層)
DNS封包的大小通常都是用Bytes記,總共就一個這麼小的封包連一張圖片都不可能傳送。
而DNS封包裡面會傳輸甚麼資料?
https://i.imgur.com/9kiahKo.png
主要就是你裝置的IP跟Port、目標的IP跟Port,
而跟你對口的也不是那個域名,預設是你的ISP提供的DNS Server,
所以嚴格來說,若認為DNS解析是回傳資料,那你的資料是回傳給你的ISP。(如中華電信)
\中華電信好可怕,拒用中華電信/
因此查看DNS Request完全不是判斷是否有回傳資料的研究方法,
要查看是否有回傳資料,應當要把所有應用層的封包流量都抓出來分析,
而不該是去抓DNS Log,這個方法完全沒辦法查看是否有偷偷回傳資料。
四、華為好可怕,iPhone好棒棒
雖然說前面的文章已經完整的解說來龍去脈,
說明這件事根本與華為無關,
但還是秉持著科學精神,我們來看看用iPhone是不是就不會有這個現象發生。
測試機種:iPhone Xs Max;作業系統:iOS 12.2
以下為透過iPhone上的Safari瀏覽器,開啟百度網站的DNS Log:
https://justpaste.it/375tx
明確的可以看見,DNS Log中有兩個www.beian.gov.cn的DNS request紀錄,
圖片下方我也有放完整的DNS Log (.xml format),有興趣的可以自己看。
結論:你用iPhone手動輸入百度也會回傳資料給中共。
(等等,雲上貴州表示:你根本沒需要手動輸入百度才能回傳資料給中國阿)
後記:
話說剛剛把文章改的更仔細後,發現原作者pe3zx已經在GitHub裡面發表聲明了:
As a solely maintainer for this project, please accept my deepest apologies
for mistakes which cause misunderstadning for Huawei brand and customers. The
fact that Huawei P30 Pro initated connections to beian.gov.cn is not true.
I still maintain this project for my own benefits. Please use it at your own
risk. Please see more info in next section, on an anaylsis of beian.gov.cn
簡略翻譯就是:
歹謝,小弟錯惹,華為P30Pro會主動回傳給中共的這件事是假der,
但為了偶個人的利益考量,這個專案偶還4會把它留著。
※ 引述《kouta (XXX)》之銘言:
: beian.gov.cn 網頁截圖:
: https://i.imgur.com/ArGLFoK.png
: reddit 討論串:
: www.reddit.com/r/netsec/comments/bfm0t8/pe3zxhuaweiblocklist_captured_dns_requests_from/
: 縮:https://tinyurl.com/yy4nknbv
: 似乎連通以下網域(轉貼自香港討論區):
: kunlunsl.com 隸屬阿里巴巴
: hicloud.com 阿里巴巴,使用不安全Symantec證書
: qq.com 騰訊
: youzanyun.com 有贊雲,主要做eCommerce
: youzan.com 有贊微商城
: dbankcdn.com 華為親情關懷服務
: baidu.com 百度
: ucloud.com.cn 阿里雲
: shifen.com MarkMonitor – 百度
: bdstatic.com 百度
: beian.gov.cn 中國全國互聯網安全管理平台
: nuomi.com 百度糯米
: gmw.cn 光明日報光明網
: china.com.cn
: alikunlun.com 阿里雲
: 不想分享手機內容的解法:
: https://github.com/pe3zx/huawei-block-list
: 台灣八卦板的討論:
: https://www.ptt.cc/bbs/Gossiping/M.1555880172.A.7A6.html
: 港人情報:
: martinoei.com/article/26357/%E8%8F%AF%E7%82%BA-p30-%E6%A0%B9%E6%9C%AC%E4%BF%82%E5%8D%B1%E9%9A%AA%E6%89%8B%E6%A9%9F
: 縮:https://tinyurl.com/y27sacmw
: 港人討論情報來源:
: https://lihkg.com/thread/1118930/page/1
: https://forumd.hkgolden.com/view.aspx?type=CA&message=7046066
: 韓國人臉書討論:
: www.facebook.com/ExWareLabs/photos/a.361854183878462/2296167797113748/?type=3&__xts__%5B0%5D=68.ARCnHzFmpwmBqQ2Q-b9JqH_FCYXPQXOac0UojD2uZH53QRp9VvPV