【錯誤】網傳「中國抖音與小紅書有木馬程式，透過個人專屬IP可以比對出身分證個資並表列談話紀錄」？

背景

通訊軟體流傳訊息指稱：

「毎台手機只有一個IP，中國透過抖音與小紅書置放木馬程式，透過IP可以表列記錄每個人的談話內容，入境時可以用身分證號碼表列出來！」

圖1：通訊軟體流傳訊息擷圖

查核

爭議點、傳言稱「中國抖音與小紅書有木馬程式」、「上網有專一的ip，可以比對出身分證個資並表列談話紀錄」，是否屬實？

（一）查核中心採訪資安專家、趨勢科技全球消費者市場協理劉彥伯。劉彥伯表示，手機IP為浮動，只用IP無法確定用戶的真實身分，須經過多平台交叉比對，也不是APP有植入木馬程式就能得到用戶所有的通話內容，傳言描述並非事實。

劉彥伯表示，每支手機都有一個行動裝置國際識別碼（IMEI），每換一支手機，識別碼就會跟著改變；至於傳言稱「上網有專一的IP」是錯誤的，因為手機IP是浮動的，每當手機重開機、收訊不好重新連線或電信公司基地台維修時，IP都會更換，IP也沒有跟身分證字號等個資綁在一起。

劉彥伯舉例說，有極少數情況可以從IP比對出真實身分，例如用戶先在實名制的微博批評中國，接著馬上又用抖音看影片，由於短時間內IP尚未變更，的確有可能透過比對IP而得知用戶身分；又或者，假如用戶註冊各平台時使用的email都是同一個，例如臉書跟小米產品都用同一個email註冊，也比較可能比對得出來。

劉彥伯表示，截至目前為止，還沒有任何政府或資安公司發現抖音、小紅書有木馬程式。他說，抖音和小紅書目前有做的是掌握用戶的喜好及政治傾向，據此推播一些帶風向的洗腦、滲透言論給用戶看；且帳號綁定、上傳影片或照片後，業者可掌握用戶的許多資料，而中國政府又可以要求業者上繳會員資料，易引發爭議。

（二）國立成功大學資訊工程學系特聘教授高宏宇表示，手機上網IP並非獨一無二，是通信商分配給使用者的，僅有固網才有固定IP，手機的連網通常為浮動或是虛擬IP，因此傳言稱用IP就可以比對出用戶真實身分、透過IP可以下載談話紀錄等，應該是不太可能。

另外，高宏宇也表示，國際上有不少人在監控與測試APP有無木馬程式，但至目前為止，抖音、小紅書等應該沒有植入木馬，只是APP會蒐集用戶資料而已。

綜合以上，手機IP是浮動的，也沒有跟身分證字號等個資綁在一起，只透過IP，無法確定用戶的真實身分，須經過多平台交叉比對；此外，截至目前為止，還沒有任何政府或資安公司監控到抖音、小紅書有木馬程式，傳言描述不正確。

結論

【報告將隨時更新 2023/8/15版】

一、資安專家表示，手機IP是浮動的，每當手機重開機、收訊不好重新連線或電信公司基地台維修時，IP都會更換，IP也沒有跟身分證字號等個資綁在一起。因此，只透過IP，無法確定用戶的真實身分，須經過多平台交叉比對，傳言描述不正確。

二、資安專家表示，截至目前為止，還沒有任何政府或資安公司監控到抖音、小紅書有木馬程式。不過，抖音和小紅書會掌握用戶的喜好及政治傾向，據此推播一些帶風向的洗腦、滲透言論。

三、資安專家建議，為了避免個資外洩，應少使用來路不明、非官方的手機APP，更不要在手機上開放太多存取權，例如手機支付APP就會擁有用戶的信用卡資料等，風險較高。

傳言將浮動的手機IP錯誤描述為個人專屬並與身分證字號綁定，且目前國際間尚未監控到抖音及小紅書有木馬程式，因此，傳言為「錯誤」訊息。

【查核聲明】資訊若有更新，本報告亦會同步更新。

補充資料

用戶使用手機APP時如何保護個資？

高宏宇建議，應盡量少使用來路不明、非官方的手機APP，更不要在手機上開放太多存取權，例如手機支付APP就會擁有用戶的信用卡資料等，風險較高。他解釋，中國APP的資安風險在於，當中國政府需要某些資訊時，企業就必須交出，用戶個資較無保障。

劉彥伯表示，如果用戶只是單純看抖音、小紅書，沒有註冊，基本上是安全的，就算對方得知識別碼或IP，但這些資訊都會變動，不會被對方掌握真實身分。另外，用戶不授權APP使用麥克風、相機鏡頭，關閉用不到的權限，以及使用不同帳號及信箱登入不同平台等，也會比較安全。

劉彥伯也提醒，比起抖音、小紅書，中國淘寶APP更值得注意，因為淘寶會綁定手機門號、信用卡資料、收件地址等個資，又會要求麥克風與相機授權，且最新版本經常不會放在App Store和Google Play等官方應用商店，能夠避開官方偵測，資安風險較大。