【國家級警報 30 秒就能偽造】資工博士用全國最大「開山里」烏龍事件,探討台灣資安

【我們為什麼挑選這篇文章】

9 日中午許多人的手機收到「開山里登革熱疫情注意」的國家級警報,讓人一頭霧水,為何自己不住台南也會收到警報。

經疾管署澄清,因為災防系統把區域範圍公尺當公里,誤將警報傳至全國。儘管只是烏龍一場,卻可以仔細深究「國家警報」,在台灣可能衍發的資訊恐慌問題,一起來看。(責任編輯:謝佩如)

大家都收到了嗎?來自全球第一里「開山里」的警報通知。據說寶博士的朋友無論是在上海還是馬來西亞,只要是手機 SIM 卡沒換的,通通都追得到,請你小心身邊的蚊子… 話說,當寶博士收到這則訊息時,人在臺大,沒仔細看,還以為是臺大有登革熱蚊子恐攻,忍不住轉頭到處看了看,走過總圖草坪時還真有點緊張… 但明明開山里就在臺南啊!

說明:社群網路上的火爆討論

這讓我回想起前些時候有幸到韓國首爾參加第 19 屆 ACM MobiSys 研討會,會中看到一個非常有趣的題目,原文叫做「This is Your President Speaking: Spoofing Alerts in 4G LTE Networks」,翻譯成中文應該是「總統級文告:4G LTE 網路中的欺偽警報」,研討會結束前 還得了最佳論文獎

說明:簡報現場
說明:右下:”Your President Speaking” 論文海報。

國家警報其實可以偽造,成了總統級欺偽警報

這是什麼研究呢?原來是美國 科羅拉多大學波德分校 的一組研究團隊,仔細“端詳”了 4G LTE 網路下的國家級警報系統,找到欺騙該系統並向全國發佈通知的方法!而且,根據當下詢問,他們說大部分的 4G LTE 網路地區使用的國家級警報都是同樣的系統;我一聽之下,二話不說,拿出手機請他們測試。他們非常興奮的拿出測試工具,說來首爾以前,他們也只在美國測試過美國手機+AT&T 的美國 4G 網路。

說明:國家級假警報封閉測試所需設備
說明:研究員先用自己的美國手機加上韓國 SKT 網路測試成功(右圖)

首先他們先測試自己的美國手機加上韓國 SKT 網路 — 實際測試時是不需要上圖左的無線信號隔離袋和天線,需要這麼做的原因是,如果他們沒用封閉測試天線和信號隔絕袋的話,全場所有處在同一頻段的手機,不分 iOS or Android,只要內含警報系統的手機就通通都會發出震耳聲響,顯示警報。

看到這狀況,我迫不及待把手機拿出來給他們測試…

偽造緊急警報,測試過程不到 30 秒即成功

整個測試過程不到 30 秒就成功了!不只我的手機立刻跳出看起來超嚇人的國家級警報;而且因為系統語言的關係,在我的手機上直接就顯示了中文的「⚠️緊急警報」和「總統級警報」幾個大字!訊息內容就是研究員假扮駭客所自由輸入的任何訊息,完全是一則以假亂真的欺騙偽警報!

說明:作者收到總統級警報
收到了總統級欺偽警報!手機上直接顯示中文的「⚠️緊急警報」和「總統級警報」幾個大字 。我必須說,當時的我真的嚇壞了!腦海中閃過無數達文西密碼小說情節,例如 萬一有人透過這方法在選前放出假消息怎麼辦?萬一有人假冒總統發出假的統一或獨立訊息怎麼辦? 萬一…… 萬一……

以古鑑今,廣播劇曾引起群眾恐慌

在上一則文章「深偽新聞: 真實的末日,真相的危機,未知的恐慌 — 一則 Bosstown Dynamics 影片的爆紅啟示」裡我曾經提過,在 1938 年曾經發生過廣播劇疑似引起大眾恐慌的知名案例:

1938 年 10 月 30 日,曾經發生一則「世界大戰」廣播劇播報了一則火星人入侵的消息,曾有普林斯頓大學教授 哈德利·坎特里爾Hadley Cantril)在一本以書籍形式出版的“ 火星入侵”The Invasion from Mars)(1940 年)的研究中指出有 600 萬人曾經聽過這則廣播劇,且有 120 萬人受到驚嚇而幾乎要開始逃亡撤離家園。(註:學術界日後多半對此估計數字有所保留,認為該統計有誇大的嫌疑。見 Wikipedia 該事件條目 中文英文

紐約時報  1938 年 10 月 31 日的頭條新聞

作者葛如鈞想說的是

如今手機警報看來在 4G 網路的年代已是所有手機必備,近一兩年來政府也是非常用心的頻繁測試。這不是壞事!因為有備無患嘛!但是, 這個 “有備” 要是可能被有心人士、駭客透過學術、技術方法劫持 ,並以中間人的方式偽裝散發虛假不實的 “國家級警報”,那小則可以是大家笑笑、媒體罵罵就算;但 大則可能引發群眾恐慌、股市下跌、銀行擠兌,全無不可,不是嗎

想想萬一駭客/有心人士發動的時機,剛好選擇近期頻繁發生的 Facebook 大斷線、Gmail 大停機這種信息相對封閉的時候,所有我們認為可以公平佐證現實狀態的社交網路突然也全部斷線;同時,而新聞媒體(又)趁亂因著私利帶領群眾一起恐慌,那該怎麼辦?

寶博士不能算是訊號專家,也不是駭客(雖然偷看了一眼研究者所用的系統介面感覺十分熟悉…),本來並沒想要花時間寫這篇幾近幻想小說的討拍文,但經歷了今天的「開山里事件」,我決定還是把上個月在韓國的恐怖經驗「偽。總統級文告」和大家分享,歡迎大家隨手轉貼, 期望政府相關單位能夠重視此事,千萬別讓恐怖的偽國家級警報在網路/手機密度全球 №1 的台灣發生才好

推薦閱讀

【臉書打擊仇恨言論再升級】FB 打算把仇恨言論用戶 IP 位置、個資交給法國法院

【中國可能在馬政府時就掌握】國安 8 大情治人員個資大外洩!整組在國外網站上俗賣 350 元

【到新疆玩,先裝「蜂採」】外國旅客赫然發現:入境安檢完,手機竟被偷裝監控 APP

(本文經原作者寶博士/葛如鈞授權轉載,並同意 BuzzOrange 編寫導讀與修訂標題,並同意 BuzzOrange 編寫導讀與修訂標題,原文標題:〈“這是總統文告,你收到了嗎?”— 論開山里錯誤通知事件與總統級欺偽警報 〉。首圖來源:中央社  。)


想看到每天《報橘》精選好文?趕快把我們加入你的 Line 好友

加入好友
   

點關鍵字看更多相關文章: