日期:111-01-06
資料來源:國家通訊傳播委員會
國家通訊傳播委員會(下稱NCC)審酌智慧型手機之使用已與民眾生活密不可分,其資通安全防護如有不足,可能影響民眾個資隱私遭洩露、冒用或造成財物損失,為帶動智慧型手機製造商重視內建軟體資通安全,促使製造商積極送測取得手機資安標章,讓消費者放心,NCC於108年起開始推動手機內建軟體資安抽測,並為督促製造商對手機版本更新亦能積極送測, NCC提高抽測頻率,分別於110年度上、下半年針對未取得資安認證並經電信事業統計109年下半年銷售量較高5款大陸廠牌手機、110年上半年銷售量較高之10款不同廠牌智慧型手機,辦理手機系統內建軟體資通安全檢測作業。目前5款大陸廠牌手機經初測、複測及完成改善程序後全數通過檢測;10款不同廠牌智慧型手機,初測計9款未通過,NCC已函送初測報告請手機製造商改善,刻正輔導廠商,期全數改善,以保障消費者權益。
NCC表示,因手機資安威脅與日俱增,經考量台灣資通產業標準協會(TAICS)於109年7月公告之「智慧型手機系統內建軟體資安測試規範」,其內容針對資料保護、程式執行安全及傳輸保護均訂有相關檢測項目,爰本次檢測係針對應用軟體及通訊協定應有之個資保護及加密機制,從TAICS公告之測試規範中跨級別挑選10個基本項目進行檢測,主要包括「內建軟體應將帳號、通行碼或金鑰儲存於作業系統保護區內或以加密方式儲存」、「內建軟體具備付費功能時,應使用多因子或強驗證進行用戶身分辨識」、「內建軟體應避免交談識別碼遭重送攻擊」、「與付費功能伺服器間傳輸,應使用安全之加密演算法」、「不可於執行期間將敏感性資料儲存於系統日誌檔案」、「存取敏感性資料前,應取得使用者同意」等項目。目前檢測情形如下:
一、110年上半年抽測之5款大陸廠牌智慧型手機(REALME C3、OPPO A72、VIVO Y50、MI NOTE9 PRO、SUGAR T30 64/3G DUAL LTE):
(一)初測(110年5月):均未通過。
(二)複測(110年10月):經手機製造商積極配合改善後全數通過。
二、110年下半年抽測之10款不同廠牌智慧型手機:
(一)初測(110年10月):APPLE iPhone 12通過。
(二)尚未通過之9款手機,因考量其內建軟體尚不符測項要求,暫不予公布,NCC已函請手機製造商積極配合改善。
NCC指出,本次檢測目的是為帶動智慧型手機製造商重視手機內建軟體之資通安全,並藉由公布檢測項目全數通過測試之手機廠牌型號,以資鼓勵,同時藉以提升消費者資安意識。
NCC強調,前述通過檢測之各款手機,僅代表其系統操作等內建軟體版本在檢測當下符合測項要求;惟考量目前資安事件層出不窮及駭客攻擊手法日新月異,通過檢測的手機,並不能保證未來手機之安全性,手機內建軟體如有更新版本,手機製造商應就更新部分重新檢測及驗證,始能維持其通過之資安等級,如事後被發現其系統內建軟體有資安漏洞或風險時,製造商仍應及時修補,並請民眾注意相關修補資訊。另外,手機資安風險更包括民眾「自行安裝」之APP及使用習慣等,因此,民眾仍須提高資安風險意識及警覺性,選擇值得信任的手機及APP。
NCC並提供民眾保持良好使用手機習慣,切記「三不五要」,以加強保護個人資料與隱私安全:
一、三不:
(一)不瀏覽可疑網站:瀏覽可疑網站,可能會在手機使用者未注意情形下,自動下載軟體駭入手機,竊取手機內個資或隱私。
(二)不連接可疑之Wi-Fi:具惡意接取點可能監聽手機使用者通訊內容,提升重要資訊洩露風險。
(三)不強行取得管理者權限:如利用可疑APP取得手機管理者權限,可能導致手機上所有個資及隱私遭竊。
二、五要:
(一)要定期更新密碼:應避免過於簡單之密碼,易遭駭客破解。
(二)要更新軟體程式及備份資料:可避免舊版程式漏洞造成損害及資料遺失。
(三)要關閉未使用的Wi-Fi/藍牙/NFC等介面:可減少具惡意設備連接,降低手機被駭風險。
(四)連接的Wi-Fi要開啟加密防護:可避免有心人監聽手機網路通訊取得重要資訊。
(五)手機不再用時要刪除機敏資料:可避免機敏資料遭他人擷取。
NCC進一步強調,為強化民眾對智慧型手機資安防護意識,NCC將持續於官方網站進行資安宣導,並關注國際間對手機相關資安防護建議或措施,滾動修正手機系統內建軟體相關檢測規定,並適時向民眾揭露手機內建軟體可能存在之資安威脅或風險。未來仍會在有限行政資源內,持續推動智慧型手機內建軟體資通安全抽測並公布結果,亦會對高風險地區廠牌之手機加強抽測,以促使手機製造商更加重視手機內建軟體資通安全,確保消費者權益。