NCC表示,本次检测系参考上述技术规范之项目进行检测,主要有“未将敏感性资料(如:个人资料)加密或储存于操作系统保护区”、“具付费功能之内建软件加密强度不足”、“与付费功能服务器间传输,未使用安全之加密算法”、“预设开启不必要之权限”、“初次存取使用者绑定装置之账户未先认证使用者身份及权限”……等10个检测项目,9款手机内建软件验测如下:
一、初测(108年10月)即通过:APPLE iPhone XR。
二、第一次复测(109年2月)后通过:经二个月改善期后,HTC U12、三星GALAXY A7 2018、NOKIA 8.1、SONY XPERIA L2、ASUS ZENFONE MAX M1、SUGAR P1、华为Y9 2019等7款。
三、第二次复测(109年4月)后通过: OPPO AX5。
NCC指出,本次检测系依行政院国家资通安全会报103年6月24日第26次决议办理,其并非强制性规定,且为试办性质,目的是为提升消费者资安意识,带动智能手机制造商重视手机内建软件之资通安全。本次检测成果已获行政院消费者保护处及资通安全处肯认,并拟借由公布检测项目全数通过测试之手机厂牌型号,以资鼓励。
某品牌两次检测均未通过
至于未通过之型号,因考量内建软件尚有漏洞,则不公布,并已请厂商修补妥处,以避免骇客乘机入侵,造成既有使用者的个资及隐私安全受到威胁。
NCC强调,前述通过测试各型手机,代表其系统操作等内建软件版本在检测当下符合测项要求。考量目前资安事件层出不穷及骇客攻击手法日新月异,通过抽测的手机,如事后被发现其系统内建软件有资安漏洞或风险时,制造商仍应予尽速修补。另外,手机资安风险更包括民众“自行安装”之行动应用APP及使用习惯等,民众仍须提高资安风险意识及警觉性,选择值得信任的手机。
NCC并提供民众保持良好使用手机习惯的口诀,加强保护个人资料与隐私安全
一、三不:①不强行取得根管理者(root)权限或越狱(JB)、②不浏览可疑网站、③不连接可疑Wi-Fi接取点。
二、五要:①要定期更新密码、②要更新软件程式及备份资料、③要关闭未使用的Wi-Fi/蓝牙/NFC等界面、④连接的Wi-Fi接取点要开启加密防护、⑤手机废置前要删除机敏资料。
NCC进一步强调,为强化民众对智能手机资安防护意识及确保消费者权益,除在NCC官方网站设置手机资安宣导专区外,亦持续关注国际间对连网设备之相关资安防护建议或措施,滚动修正手机系统内建软件相关检测规定,并适时向民众揭露手机系统内建软件可能存在的资安威胁或风险。109年度起NCC将与行政院消保处及资安处合作,协力推动智能手机内建软件资通安全抽测,促使手机制造商更加重视手机内建软件资通安全,保障消费者权益。
“哪一个品牌”其实呼之欲出
至于是哪一个品牌手机两次检测都没过?根据NCC表示的抽测原则“108年下半年针对电信事业108年第1季销售量较高之10款不同品牌智能手机进行抽测”。我们再来整理一下抽测的过程:
第一次抽测通过:
1)APPLE iPhone XR
第一次复测通过:
1)HTC U12
2)三星 GALAXY A7 2018
3)NOKIA 8.1
4)SONY XPERIA L2
5)ASUS ZENFONE MAX M1
6)SUGAR P1
7)华为Y9 2019
第二次复测通过:
1)OPPO AX5
从这个列表中,其实只要是对手机稍微有点关注的朋友,都不难发现国人非常熟悉的手机品牌中,有某一个品牌很明显的在这一份抽测结果中缺席,他们最近水逆的很严重,在这里我们也就不明说了。
