国家通讯传播委员会(NCC)表示,依电信法第42条第1项规定,手机之电信界面、电磁相容及电气安全依法应进行型式认证检测;另,因资安议题日益受到各界关注, NCC前参考ISO/IEC 15408 、OWASP及NIST等国际资安规范或指引,于106年3月3日订定发布“智能手机系统内建软件资通安全检测技术规范”,依内建软件之资料层、应用程序层、通讯协定层、操作系统层及硬件层分别订定检测项目,鼓励业者自主提供检测、确保其符合目前国际规范建议之资通安全要求、并提供给消费者作为参考。
NCC强调,型式认证检测与智能手机内建软件资安检测,是两项分别进行的检测事项。两者不得混为一谈。
NCC说明,现行手机使用之软件,包含手机系统内建软件及自行外加APP二类,手机系统内建软件之资安检测由NCC推动,另外加APP软件之资安检测系由经济部工业局推动。手机内建软件系指出厂预载软件、手机制造商授权销售商得加载之软件及无图示软件三种,目前台湾小米手机并未取得智能手机系统内建软件资通安全检测认证。
为确保手机出厂时之资通安全,NCC呼吁所有手机厂商都应该自主办理智能手机系统内建软件资通安全检测认证。NCC同时强调,资通安全本质为风险控管及相对安全概念,即使智能手机系统内建软件检测结果符合“智能手机系统内建软件资通安全检测技术规范”,也仅限于手机厂商宣称之内建软件符合技术规范之检测项目。
鉴于资安事件层出不穷及攻击手法日新月异,内建软件潜在漏洞亦可能后续才被发现,NCC将定期检讨修正技术规范。已取得智能手机系统内建软件不同资通安全等级资安检测认证者,仍有该等级一定之资通安全保障。
NCC进一步说明,虽然智能手机系统内建软件资通安全检测并非强制规定,但智能手机如有充分事证显示其内建软件有资安问题并影响消费者权益时,NCC将函请该手机制造商澄清说明,必要时请手机制造商提出具体改善措施,以保障国内消费者权益。
NCC最后指出,台湾小米昨(3/27)日已正式声明(略以):“…台湾小米澄清台湾小米代理进口小米手机之硬件规格均经国家通讯传播委员会(NCC)认证,惟该硬件规格认证不包含APP等软件之资安认证,本公司未来将适时配合NCC办理所代理进口小米手机之资安认证…”。
新闻来源:NCC