台湾大哥大Amazing A32手机遭植恶意程式，使简讯OTP可被拦截，疑上百用户沦为诈骗人头账户最新消息

由台湾大哥大推出的一款自有品牌手机“Amazing A32”，在去年下半被刑事警察局发现，手机生产制程阶段被暗中植入了恶意程式，使得诈骗集团可将用户门号作为游戏点数诈骗的人头账号，并且已有多位无辜民众因此收到全台地检署通知单，案由为诈欺。这起事件，最近有了一些新的结果。

在2021年1月6日，国家通讯传播委员会（NCC）、台湾大哥大，各自发布相关公告。NCC指出，这次事件凸显相关大陆白牌手机带来的资安议题，因此未来他们将进一步要求，需符合资安标准以及纳入年度抽测。同时，台湾大哥大宣布将全面召回Amazing A32，其合作厂商“力平国际”已释出新版2.0操作系统，将协助用户进行安全性软件升级。

不仅如此，刑事警察局也在同日召开记者会，揭露这次案件的侦办经过，他们是从半年前接获民众陈情开始，察觉被害人都是年长者，进而追踪调查与分析。

值得关注的是，在这起事件下，除了诈骗集团与黑色产业进而引发的社会事件，以及中国制白牌手机带来的资安疑虑，行动业者自家产品委外代工的资安品管挑战，都成关注议题之外，我们还注意到一个容易被外界忽略的焦点，就是简讯OTP遭拦截的事件，已经在台湾发生，相关安全隐忧也很值得国内重视。

在2020年下半就已有许多受害者，刑事警察局指出不少年长者被当人头账户

关于这起事件的调查经过，我们询问最先开始调查此案的刑事警察局，根据该单位提供的说明，他们旗下打击诈欺犯罪中心之所以开始侦办，是因为在2020年7月接获两件民众陈情，因为游戏点数诈骗案件收到地检署通知单，由于这两起案件当事人为50多岁与70多岁，案情可能不单纯，于是他们展开关连式分析，接着在2020年8月共收集了48件案件，发现其共通特性，都是使用同一个厂牌的手机，因此继而报请检察官指挥调查，并在2020年9月时由刑事警察局研发科进行数位鉴识，发现手机遭植入木马，之后并依相关规定通报NCC。

后续，这起事件其实已在2020年10月17日曝光于媒体，包括TVBS与东森等电视媒体报导，后续平面媒体自由时报也跟进。在这些报导中，指出刑事警察局当时透露，警方接获游戏点数诈骗案件后，在追查过程中，先是从游戏公司调阅游戏点数所存入的游戏账号认证手机门号，发现门号申请人或使用者，有不少是高龄年长者，成为疑点，经后续分析，查出这些用户都使用了同款低价位的中国制白牌手机，并研判该中国制白牌手机在当地产制过程中，就被偷偷植入恶意程式，并以台湾品牌卖给国内民众。

当时，刑事警察局并未揭露是何款手机有问题，不过以白牌手机又是挂上台湾品牌贩售，范围其实已经限缩不少，由于是在手机生产阶段就被植入恶意程式，这也提醒了台湾行动业者贩售自家品牌的贴牌手机产品时，对于委外代工的资安管控可能不足的隐忧。

NCC警示中国制白牌手机存资安疑虑，台湾大哥大释出新版系统修补并将协助更新

对于台湾大哥大自有品牌Amazing A32手机引发的资安疑虑，在NCC发布的声明中，他们指出，为确保国内用户的消费者权益，因此希望台湾大哥大尽速厘清事件发生的主要原因，并依消费者保护法及电信管理法相关规定，要求该公司尽速善后补救。

同时，NCC还说明了这起事件是如何让使不知情的手机使用者，变成诈骗集团的人头，并指出这次事件使中国制白牌手机的资安议题浮上台面，因此他们日后针对此类以台湾品牌销售的中国白牌手机，将会采更严格的管理措施。

NCC强调，这次事件凸显大陆白牌手机资安议题，出厂即被植入恶意程式，为了保障消费者权益，现在NCC将采取更严厉的要求。

在这次事件中，是否还有其他白牌手机受影响？我们询问NCC，该单位副处长吴铭仁表示，他们是在2020年11月接获刑事警察局分享的情资，进而得知Amazing A32手机在产制过程中被植入恶意程式，之后他们也着手检测这款手机，同时通知台湾大哥大尽速处理。

吴铭仁表示，NCC在2020年就有针对市售手机进行年度资安抽测作业，在得知此一情资后，他们也额外检测该款手机，以及其他电信业者自有品牌手机。所幸，调查结果中，其他的自有品牌手机没有发现类似情事。

另一方面，关于台湾大哥大在此事件的资安应变上，是否得知此一情况时就将Amazing A32产品下架，并进行资安事件调查，以及委外代工资安品管过程检讨？对此，台湾大哥大向我们答复，Amazing A32手机在2020年7月5G开台后，就已经从相关通路全面下架，因此在后续事件传出时，消费者已经不会在通路上买到该产品。

而根据台湾大哥大的新闻公告内容，他们在发现该款手机的资安疑虑后，也有相关处置动作。当中包括：封锁海外7个恶意IP地址，并要求负责产制Amazing A32手机的台湾厂商“力平国际”，开发新版2.0操作系统，以及再次清查“力平国际”生产的所有Amazing贴牌手机，查出仅“Amazing A32”委由中国厂商华珑公司代工，其他Amazing机种则没有相关问题。

现在，他们已经释出该款手机的2.0版更新程式，用户可在台湾大哥大官方网站下载，或是前往门市由专人协助系统程式的更新升级。

综合来看，在这次事件中，影响国内用户数不小。因为Amazing A32共销售出94,191支，而现今仍使用台湾大哥大门号与该款手机的用户数7,557人，更值得关注的是，台湾大哥大指出受影响用户数约200位，这可能就是指被作为诈骗游戏点数人头账号的报案受害者人数，而我们后续也已再次求证，目前他们尚未回复。

至于被当成人头账号的用户而言，因为购买与使用出厂即内建恶意程式的Amazing A32手机，后续是否能有法律上的求偿，也成民众关心焦点。

在昨日（1月6日）台湾大哥大Amazing A32遭植入木马的新闻传出后，后续在网络上发现有不少网友留言表示，自己就是购买Amazing A32手机后被当成人头账户的受害者，而我们也在台湾电子布告栏批踢踢实业坊PTT上的法律LAW看板，看到一名网友在板上求助。他说，之前也是这支手机的使用者，自去年因被栽赃诈欺案所苦。经联系，我们向这位网友取得事件相关图片，当中显示他所收到的全台多处地检处通知信。对于遭遇这样的事件，该先生向我们说明他所遇到困扰，主要就是需要跑全台警察局跟地检署，不仅影响到上班，需要跟公司请假，也要自己花时间，并且自出车费，前往到案说明，去叙述自身的清白，真的是身心俱疲。因此他对台湾大哥大目前处理的方式不满，2000元的补偿根本不足以赔偿那段时间的损失。（图片来源／网友提供）

诈骗集团可拦截游戏认证码简讯

另一个关注焦点是，根据NCC指出，在产制过程被植入恶意程式的Amazing A32手机，由台湾大哥大冠名授权品牌来台销售，当国内民众购买并使用手机后，诈骗集团可利用该手机所使用的门号，向游戏公司申请游戏账号。

关于诈骗的详细流程，NCC有较清楚的说明，当游戏公司传送游戏认证码简讯到该门号时，简讯同时回传给诈骗集团，因此，诈骗集团可以拦截到的游戏认证码简讯，建立人头游戏账号。同时，在诈骗集团骗取游戏点数时，会透过国外IP位置将点数储值至该人头游戏账号内，进而导致不知情的Amazing A32手机用户，变成诈骗集团的人头。

特别的是，这起事件除了关注产制过程被植入恶意程式，是否同时也暴露了简讯OTP被拦截的现况，而且在台湾就已有多个实际被害者。由于简讯OTP的安全议题，这几年在欧美都已经有所关注，包括2016年美国NIST发布的数位认证指导原则草案，以及2019年欧盟PSD2的规范，台湾-、企业可能也要持续关注这方面的议题。