◎ 黑熊學院
公平會4月23日證實Grab與外送平台Foodpanda併購案已進入「補件」階段,這看似普通的併購案,卻可能與國安高度相關。
Grab與外送平台Foodpanda併購案已進入「補件」階段,這可能造成3大資安漏洞。(取自貼文)
Grab 的最大爭議有兩點:
第一,Grab旗下的圖資品牌「GrabMaps」,與華為旗下的「花瓣地圖」有密切的技術授權合作。
第二,支援 Grab 資料儲存的雲端服務供應商之一,是來自中國的阿里雲(隸屬於阿里巴巴)。
Grab的技術說好聽點是「成熟」,說難聽點就是讓敵人有機會將我們看光光:
1️⃣千萬名外送員將成為「繪製地圖者」
GrabMaps在官方新聞稿與技術文件中多次強調,它與Google Maps的最大差異在於「精細度」與「動態更新速度」。
也就是說,它能透過數百萬名外送員與司機的GPS軌跡與即時回報,持續修正地圖。
舉例來說,當多位外送員在同一地點「穿越」在Google Maps看似應該是牆壁或建築物時,系統會自動辨識出——這可能是「捷徑」或「社區後門」。
Grab也指出這是它們的「優勢」:它們在東南亞城市(如雅加達、馬尼拉,其巷弄環境與台灣相似)所新增的「被遺漏的道路資訊」與「禁止轉彎」等數據量,遠高於其他商用地圖平台。
2️⃣過於精細的資訊將可能成為致命武器
Grab 在 2022 年正式推出GrabMaps服務後,便強調其能提供精確到「特定公寓大樓入口」的定位服務,或甚至推算出車輛或人員在「地下室」或「多層停車場」的精確樓層數與位置。
這些數據並非Grab「竊取」,而是透過合法管道,如:每日數百萬條由外送員移動的路徑,所自動描繪出的隱形道路,或讓外送員手動回報。
3️⃣中國公司皆受限於《中共情報法》
當台灣圖資被納入GrabMaps資料庫,Grab要如何保證不會依據現有的合作協議,自動「同步」給華為的花瓣地圖?
GrabMaps由幾萬名外送員時刻用GPS軌跡運作出來,是外送員為了趕時間穿過的防火巷、大樓後門等,哪條巷子今天施工不能走、哪棟大樓的側門現在可以進去。(資料照)
GrabMaps的問題在於,它並非是每個國家建立完全隔離的系統,而是全球共享的雲端技術。
假如協議中定義的服務範圍包含「Grab經營之所有市場」,那麼當台灣foodpanda的數據遷移到GrabMaps雲端後,台灣的即時路況、新巷弄座標、甚至是外送員測繪出的建築物出入口,都有可能更新至華為的「花瓣地圖」資料庫。
Grab是否能提出技術證明,保證台灣圖資不會進入與華為共享的API?
華為不僅是「使用者」更是「技術合作者」。
只要數據經過華為,就有機會在後台備份或記錄這些具有「情報價值」的細微圖資(如前述的地下室樓層數據、隱藏捷徑)。
國防安全研究院在針對「中共數位威權擴張」的研究中就曾指出:「如華為、滴滴出行等企業,皆受限於中國《國家情報法》(第7條與第14條),有義務配合政府收集數據。」
》GrabMaps比Google Maps可怕在哪?
GrabMaps提供的路可說高度即時,可能將這類數據用於無人機精準導航或特種作戰定位?(資料照)
若說Google Maps是街道攝影師,拍的是大家都看得到的大馬路和房子外觀,街景車可能一年才來台灣開一次,且缺乏非正式道路的即時圖資更新,數據通常都比較舊。
那GrabMaps就像是擁有「穿牆術」,它由幾萬名外送員時刻用 GPS 軌跡運作出來,是外送員為了趕時間穿過的防火巷、大樓後門等,哪條巷子今天施工不能走、哪棟大樓的側門現在可以進去。
它是「活著的數據」。
以無人機舉例,如果無人機利用Google Maps,大概只能走傳統路線。但是GrabMaps提供的路可說高度即時,說能讓無人機像外送員一樣穿梭也不誇張。
我們是否可以推測,可以將這類數據用於無人機精準導航或特種作戰定位?
因此說Grab併購案引發國安疑慮,並非危言聳聽。
本文經授權轉載自黑熊學院臉書
編輯精選
自由評論網粉絲團
