NCC 今(7/7)公布13家手機品牌,共計15款智慧型手機內建軟體資安的抽測結果。圖為示意圖。(圖/freestocks)
NCC 今(7/7)公布 109 年智慧型手機內建軟體的資安抽測結果,此次針對去年109年第1、2季銷售量較高的 13 家手機品牌,包含如:蘋果、三星、華碩、HTC與華為、OPPO等,共計抽查涵蓋旗艦、低中高階的15款機型,檢測內建的軟體資安是否合格。就公布結果顯示,其中,只有蘋果熱賣的iPhone 11 在初次抽測就一次過關,至於其它13款機型,在經過第二次複檢測試後,均全數通過。
另,電信業者台灣大哥大自有手機品牌旗下的TWN AMAZING A32 ,為2018年上市的低階入門手機,則是因Android 系統版本過舊,Google不願再修正授權軟體,使得該款手機無法通過此次抽查測試。對此,NCC表示,已督促台灣大進行應處並加強關注,以免再發生資安事件。
台灣大「Amazing A32」手機,已於去年7月下架停賣。而在今年初因用戶向刑事局舉報手機遭植入木馬程式的資安事件爆發後,台灣大隨即展開該款手機召回,為用戶進行安全性軟體升級。
NCC 今(7/7)公布 109 年智慧型手機內建軟體資安抽測結果,針對去年下半年度銷售量較高的 13 大手機品牌,共計抽查15款機型,檢測內建的軟體資安是否合格。(圖NCC提供)
此次抽測的15款智慧型手機之中,共有7款為中國手機品牌所推出,包括有:華為、紅米、OPPO、realme、收購手機VIVO、Sugar與Koobee。各品牌機型詳細清單如下:
蘋果 iPhone 11
三星 Galaxy A32
SONY Xperia 5
華碩 ZenFone Max M2
HTC Desire 19s
台灣大TWN A32、A55、A57
華為 Y9 Prime 2019
紅米 Redmi Note 8T
OPPO A9 2020
realme XT
收購手機VIVO Y12
Sugar C13
Koobee S16
此次抽查的15款智慧型手機,依據NCC公告「智慧型手機系統內建軟體資通安全檢測技術規範」,各款手機內建APP軟體的資訊安全均需符合10大項目的檢測作業,以確保手機內建軟體與應用程式的安全性,檢測項目包括有:
●未將敏感性資料(如:個人資料)加密或儲存於作業系統保護區。
●無線傳輸敏感性資料時,未使用加密傳輸。
●內建軟體之交談識別碼遭重送攻擊。
●與付費功能伺服器間傳輸,未使用安全之加密演算法。
●初次存取使用者綁定裝置之帳戶,未先認證使用者身分及權限。
●內建軟體未具備處理資料隱碼攻擊字串之能力。
●內建軟體未具備處理延伸標記語言攻擊字串之能力。
●內建軟體與伺服器溝通之帳號、密碼及金鑰以明文方式存於執行檔。
●內建軟體預設開啟不必要之權限,或系統預設開啟不必要之網路連接埠。
●系統更新時以明文方式傳輸。
NCC強調,此次公布通過抽查檢測的各款手機,代表其系統操作等內建軟體版本在檢測當下符合測項要求。在考量目前資安事件層出不窮及駭客攻擊手法日新月異,通過檢測的手機,並不能保證未來手機的安全性,因此手機內建軟體如有更新版本,手機製造商應就更新部分重新檢測及驗證,始能維持其通過之資安等級,如事後被發現其系統內建軟體有資安漏洞或風險時,製造商仍應及時修補,並請民眾注意相關修補資訊。
另外,手機資安風險更包括民眾「自行安裝」之APP及使用習慣等,因此,民眾仍須提高資安風險意識及警覺性,選擇值得信任的手機及APP。
收購手機