消保处点名三星、HTC、Sony三款手机具资安风险：资料以明码储存、权限控管宽松

行政院消费者保护处（简称消保处）公布三星（Samsung）、HTC、Sony三款智能手机资安风险检测结果，发现三款手机存在资料外泄风险，包括以明码储存、应用程序权限控管宽松等问题，目前业者已改善完毕。基于手机逐渐成为国人生活中仰赖的重要资讯装置，政府也研拟未来对手机订定资安检测规范。

消保处是在去年10月委托资安科技研究所，抽检市占率最大的Android手机前三大厂牌Samsung、HTC、Sony三款当时的旗舰手机 HTC New One（M7）、Samsung Galaxy Note 3、Sony Xperia Z。由于国内缺乏检测标准，资策会依照国际知名资安组织“OWASP Top 10 Mobile Risks”与“SANS: CWE/SANS TOP 25 Most Dangerous Software Errors”标准作测试。

经过检测发现三款手机共有13项资安风险，8项与不安全加密有关，4项为权限控管，1项为安全连网。其中HTC共有4项风险，Samsung有3项，Sony则有6项，详细风险可参考文件。

以HTC New One为例，手机笔记程式内容以明码方式储存，若使用者纪录重要资料，可能有资料外泄的风险。另外，Wi-Fi热点及导航应用程序密码以明码储存、传输也可能被窃取。

Samsung Galaxy Note 3也有笔记程式资料以明码储存的问题，但还有应用程序网络加密连线制缺乏验证，可能连线到钓鱼网站受到攻击。Sony Xperia Z也有笔记程式以明码储存内容，程式密码及使用者资料以明码储存传输容易被窃取、下拉式讯息列包含部分或完整的资料（个资或即时通讯内容）、车用模式权限控管不当等。

行政院消保处消保官王德明表示，由于行动装置普及，若透过手机进行交易，资安风险可能影响到消费者权益，因此消保处委托资策会进行检测，这是国内首次对手机软件安全进行资安检测。检测结果已向手机厂商反映，三家业者已陆续在今年6月底针对缺失修补。

另外政府也计划订定手机资安规范，行政院国家资通安全会报先前已决定有关电信设备（手机）内软件由NCC主管，手机与PC的应用程序、App资安规范由经济部主管。两个主管机关未来将订定软件资安检测标准、测试认证、自主验证等相关管理办法。