[分享] 日本網友從技術面談my Xperia的baidu

作者: jfy (天之子)   2014-11-21 15:01:56
引用我常看的日本網站之評論文章:
http://smhn.info/201411-expound-my-xperia-spayware-and-china-great-firewall
原標題:XPERIAスパイウェア問題まとめ:中国検閲システム「金盾」との関係、
技術的側面からの解説
譯: Xperia的木馬疑雲匯整:從與中國國家防火牆「金盾」的關係及技術面進行解說
---
本文章是針對Sony的智慧型手機Xperia所發生的木馬疑雲,
從中國的網路審核機制與技術面來進行解說。
騷動的原因?
近來因為有一部份的Xperia手機,會在內部儲存空間自動產生「baidu」資料夾,
而在海外的論壇上引發討論。
提到Baidu,就是中國最大的搜尋網站,
另外在日本國內則因會在安裝Baidu相關程式時被強制安裝hao123、
或是其Baidu IME會自行把使用者資訊傳輸出去而為人所知的企業,
就算是不太了解的人,多少也都有聽過Baidu的名字。
而在國外論壇會引人注意的原因在於,
產生「Baidu」資料夾的是Sony Mobile所提供的「手機遺失時位置搜尋服務」my Xperia,
同時也因為my Xperia會與中國北京的伺服器進行資料傳輸,
故讓人懷疑Xperia是否被植入木馬。
使用Xperia手機不會有問題嗎?
對日本國內的Xpeira用戶而言是沒有問題的,因為有疑慮的是有搭載my Xperia的國際版,
日本國內的Xpeira手機並沒有搭載my Xpeira。
雖然在日本國內也有些用戶回報其Xperia手機內也有baidu資料夾,
但那些都是因為使用者本身所安裝的App所產生的,與此次的木馬疑雲無關。
對於使用者懷疑個人資料被送往Baidu的可能性,Sony Mobile官方已出面否認,
同時對於「為何會產生baidu資料夾」之質疑,也以技術面進行解說。
為何會產生baidu資料夾呢?
雖然具體的原因如同Sony Mobile的官方聲明,
但可能有不少人因為沒有日文聲明而覺得疑惑。
(沒有日文聲明是因為日本版Xperia手機並不是有木馬疑雲的機種)
若要深究這個問題,首先就必須要談談中國國內的網路情況。
中國共產黨為了對其國民進行資訊管制,而建構了國家級防火牆(金盾)。
中國國民的所有網路連線都必須經過金盾,所以無法瀏覽中國共產黨認為不合適的網站,
雖然每個省份或上網的地點會有些許差異,但無法連上Twitter與Facebook是廣為人知的。
http://smhn.info/wp-content/uploads/2014/11/xperia_spyware_006.png
以上圖來講,網站A(サイトA)是被中國政府認定不合適的網站,
那麼中國國民就無法登入網站A。
而且金盾的資訊管制也包括Google,在中國國內無法使用Google的各種服務,
中國國內銷售的Android手機、平板也都沒有預載Google的服務,
而是改預載中國獨有的程式或服務。
談完中國國內情況後,接下來談Google所提供的Google Cloud Messaging,
Google Cloud Messaging是一項由伺服器端向用戶端(智慧型手機),
要求其進行特定動作的推送功能,藉由這項功能,
App開發者就能在不透過手機端向伺服器端送出要求下,
主動由伺服器端向智慧型手機傳達最新的情報資訊。
這項功能也有用在Googld的Gmail程式上,當有新信件送達時,
手機端會立刻出現通知就是因為Google Cloud Messaging。
而在遺失手機時用來搜尋手機位置的my Xpeira,
就是使用者在遺失手機時登入my Xpeira網站,透過手機GPS或行動網路,
來搜尋自己手機所在位置的服務,而my Xperia服務也有使用Google Cloud Messaging,
當使用者在網站上要求取得Xperia手機所在地情報時,
已綁定Google帳號的Xperia手機就回送其所在地情報給my Xperia。
http://smhn.info/wp-content/uploads/2014/11/xperia_spyware_ploblem_005.png
my Xpeira則會把收到的所在地情報,在使用者所看到的地圖上標註出來,
這就是使用者為何能透過my Xperia確認Xperia手機的所在地。
但是在這裡有一個問題,如前文所述中國國內因為金盾而不能使用Google服務,
因此當使用者的Xperia手機在中國國內遺失,或是失竊後被賣到中國國內,
將會無法透過Google Cloud Messaging取得所在地情報。
http://smhn.info/wp-content/uploads/2014/11/xperia_spyware_ploblem_003.png
因此Sony Mobile在中國國內是改用Baidu的推送通知服務Baidu Frontia,
來取代Google Cloud Messaging,
所以這是為了解決my Xperia原本無法在中國國內產生功用的問題,
而採用Baidu的推送服務,並因此產生baidu資料夾,
以及為了進行推送而與位於北京的Baidu伺服器進行連線,
也就是此次木馬疑雲的起因。
故Sony Mobile的說明也指出這是為了讓「my Xperia」的功能不出現問題,
所以才使用Baidu的服務,但並沒有傳送任何使用者資料到Baidu。
被質疑的「冷靜判斷」
Sony Mobile在此次騷動後,於官方論壇上表示『今後my Xperia服務,
除了中國國內機種外,都不會再使用baidu的服務,
只使用Google Cloud Messaging能達成其功能』,
但是這樣的的設定下,可預料在中國國外遺失的Xperia手機若被送往中國國內時,
將無法透過my Xperia服務來取得所在地情報。
近來世界各國都對於「任何傳送使用者資料」乙事非常敏感,
美國NSA的竊聽問題或是中國的國家級竊密等,隱私權相關議題可說是源源不絕,
但是像此次在沒有明確資訊下,Sony Mobile獨斷獨行的結果,
反而造成手機失竊的風險可能提高也是事實,
故可能大家在面對涉及使用者資料管理的議題時,應當更冷靜地進行判斷。
---
雖然大多都是基於Sony Mobile的官方聲明,但感覺這篇的說明還蠻淺顯易懂,
且也有提到在不使用baidu服務後的相對風險,故翻譯供大家參考。
作者: hardhearted (十指交扣的幸福!?)   2014-11-21 15:49:00
推推!看到百度就賭爛
作者: igarasiyui (かゆい うま)   2014-11-21 16:10:00
反正到時去中國商務或出遊 手機掉了myxperia找不回來就是使用者自找的了 還好我不去中國到頭來他廠有同樣情況的也還是毫無動作啦(笑
作者: jennychuli (神遊自然)   2014-11-21 16:19:00
感謝分享
作者: diablo4 (暗黑破壞神4代)   2014-11-21 17:22:00
所以算是自行閹割台灣人到中國工作或旅遊的找手機功能 這也解釋了其他廠牌手機(非單純SONY)也有baidu資料夾的原因
作者: LUDWIN (暑假已經過完了)   2014-11-21 21:36:00
不過手機被竊會不刪除原使用者資料繼續給收贓者使用嘛?
作者: igarasiyui (かゆい うま)   2014-11-21 22:13:00
當然不會 所以發現不見了的話要先用myxperia鎖住吧雖然可能會被有心人強刷重灌破解 但第一時間找得到
作者: sam613 (Hikaru)   2014-11-21 23:01:00
翻譯推,雖然一陣子之前就看過原文
作者: TSbb (貸款三十年債開始)   2014-11-22 03:36:00
其實其他國的人去中國真掉了,大概也別想找回阿 XD
作者: diablo4 (暗黑破壞神4代)   2014-11-22 10:39:00
殺肉機? 不過總覺得為了一個資料夾少一個功能挺可惜的= =
作者: selvester (水昆蟲)   2014-11-23 02:57:00
所以是把台灣誤認為中國了喔? 這種低級錯誤...
作者: igarasiyui (かゆい うま)   2014-11-23 10:00:00
樓上有看文章?
作者: jfy (天之子)   2014-11-23 12:49:00
是為了避免中國以外的Xperia手機在中國遺失或被盜賣到中國,才使用baidu服務的。
作者: selvester (水昆蟲)   2014-11-24 17:01:00
igarasiyui沒看文章? 中國國內因為金盾,我們是國外吧
作者: grasses (姆恩恩~~)   2014-11-24 20:09:00
到底是誰沒看文章啦 XD
作者: jfy (天之子)   2014-11-24 20:58:00
我推文那邊就是補充為何要用baidu服務,且又不是只有台灣的Xperia手機有這問題,歐洲那邊也有阿,歐洲也不屬於中國吧。
作者: igarasiyui (かゆい うま)   2014-11-24 22:05:00
全國際版的myxperia都有baidu問題 是誰把台灣誤認?乾脆說SONY把全世界都誤認成中國了 這樣可以嗎?
作者: selvester (水昆蟲)   2014-11-30 04:17:00
抱歉,國際版是比中國百度更先前的大前提,在此道歉

Links booklink

Contact Us: admin [ a t ] ucptt.com