鏡周刊何韻詩來台被駭報導，我的一些疑惑

《鏡周刊》爆了個很大的料：在香港歌手何韻詩來台的過程中，有台灣徵信社透過何的司機，取得何的手機，植入監控軟體；全文可以去鏡周刊網站去讀：

不過，鏡周刊這篇報導，並沒有把徵信社具體安裝了什麼駭侵軟體寫出來；讀完整篇報導後，我有幾個疑問：

司機要怎麼取得何的手機？即使是熟人，通常也不太會把自己的手機交給他人；這部分鏡周刊也沒有交待（因為他們沒訪到何韻詩本人）。
何韻詩是用 iPhone，而 iPhone 都會有指紋或面孔解鎖，非本人就算取得手機也不容易解開，因此應該很難在解鎖後植入惡意軟體。
另外一點，台灣徵信業者多半是小規模、小本經營，我很懷疑他們能有多強的技術，擁有可在 iPhone 上執行的惡意軟體？除非幫那支手機越獄。（皮樂大大也說，以目前而言，在 iOS 10 後，越獄過的手機在重開機後，就無法持續處在越獄狀態了。）
最根本的問題是，老共要駭何韻詩，根本不需要台灣徵信社，也無需大費周章等何來台灣，再大費周章拿到她的手機來駭。老共自己就養了很多超強的 APT 駭侵團體，老早在香港就可以遠端駭侵監控了（而且我相信何一定老早就被盯上）。

話說回來，透過台流和徵信社，用盜錄或裝GPS 這種低科技，來監控台灣在地的異議人士，倒是完全有可能且合理。

至於高科技駭侵的部分，確實也有不用取得手機也能遠端駭入的手法。最近浮上枱面的案例，就是 WhatsApp 先前有個漏洞，被以色列的監控軟體公司 NSO 拿來利用，用戶手機只要響起 WhatsApp 的來電鈴聲，即使沒有接聽，也能植入惡意軟體，監控受駭者的一舉一動：

最近 WhatsApp 正式控告以色列 NSO 集團：

NSO 這個例子，只是浮上枱面的案例，一定還有更多同等厲害、甚至更強的駭侵手法，只是尚未被揭發而已。

鏡周刊的報導當然在技術方面有很多問題，所以如果他們在撰稿時，同時也去訪問一些資安專家，把技術方面的細節補齊，這篇文章的說服力會更高。
但是，相信這篇報導也有助於提升大眾對於駭侵事件的警覺，至少能夠引起討論，一定會有一些人在看到報導之後，猛然發現原來會發生這樣的事。
會來看我這篇文章的朋友，想必是比較關心資安與數位隱私權的朋友；但你的家人朋友則未必，或是還不知道。也要麻煩各位已經有資安意識的朋友，沒事多多和那些還沒資安意識的朋友聊這個話題，幫他們啟蒙一下，功德無量，阿彌陀佛。

再推一下上星期寫的這篇，以及相關的 Podcast 節目。