NCC公布15款市售手机内建软件资安检测结果，台湾大哥大Amazing A32未通过

为带动国内手机业者、消费者对手机内建软件资讯安全的重视，NCC周三公布109年手机内建软件资安抽测结果，此次共抽测市售15款手机，今年初因手机在生产阶段就被植入恶意程式，导致用户沦为游戏点数诈骗人头账号的台湾大哥大Amazing A32，为唯一一款未通过检测的手机。

这次抽测是以2020年下半年到今年第1、2季，销售量较高且未取得资安认证的10款手机，以及3款业者自有品牌、2款中国品牌手机，进行手机内建软件的资通安全检测，测试的手机包括苹果iPhone 11、红米Redmi NOTE 8T、华硕Zenfone Max、HTC Desire 19S、三星Galaxy A20、Sony Xperia 5、Oppo A9 2020、Realme XT、台湾大哥大A32、A55及A57等15款手机。

NCC从台湾资通产业标准协会(TAICS)提出的“智能手机内建软件资安测试规范”挑选10个项目进行基本检测，包含“内建软件应将账号、通行码或金钥储存于操作系统保护区内或以加密方式储存”、“内建软件应避免交谈识别码遭重送攻击”、“与付费功能服务器间传输，应使用安全之加密算法”、“不可于执行期间将敏感性资料储存于系统日志档案”、“存取敏感性资料前，应取得使用者同意”等检测项目。这项测试并非强制性，而由NCC主动抽测热门、中国品牌及电信商自有品牌手机，目的在提高消费者、厂商对手机资讯安全的重视。

经过测试，除了苹果iPhone 11在今年1月的初次测试即通过之外，其他的13款手机通知手机厂商改进之后，也通过今年4月的复测，至于台湾大哥大Amazing A32并未通过，原因为该款手机Android版本过旧，Google已不再修正授权软件，故无法通过此次检测。

Amazing系列为台湾大哥大引进的中国白牌手机，以高性价比吸引不少用户，今年初Amazing A32爆发严重的资安事件，刑事局去年就接获民众检举，经过侦查后发现，手机疑似在生产阶段被植入恶意程式，诈骗集团利用该手机门号向游戏公司申请账号，并拦截传到该手机的认证码简讯，完成游戏账号申请，之后这些账号成为诈骗集团骗取游戏点数的人头账号，不少用户在不知不觉中沦为诈骗的人头账户，收到地检署通知要求协助说明，造成用户困扰。

NCC要求台湾大哥大和协力厂商尽速改善补救，同时也强化对中国白牌手机的资安要求，包括行动电信业者销售中国制造的自有品牌手机，除了手机硬件的型式认证之外，也需通过TAICS发布的智能手机系统内建软件资安标准才能贩售。此外，中国品牌及行动电信业者的中国制自有品牌手机纳入年度的手机资安检测。

台湾大哥大今年1月对外的公开说明，Amazing A32已在去年7月自通路下架，该公司也和台湾合作厂商开发新版操作系统改进问题，并澄清其他的Amazing手机并没有相关问题。

根据中华民国资讯安全学会公布的手机系统内建软件资通安全检测(Embedded Software Security, ESS)检测通过名单，从民国106年至今，国内共有19款手机在厂商主动送测下，获得ESS检测，其中Amazcing A32可能在改进后，今年1月14日取得ESS资通安全等级的1级(编按：ESS资通安全等级原分为初、中、高级，后改为1、2、3级)，代表已具备基本的隐私保护。