国内手机系统软件安全检测规范出炉，明年中可望上路

智能手机人手一支，为确保国内使用者的资讯安全及隐私保护，这个月初NCC通过了“智能手机系统内建软件资通安全检测技术规范”等草案，明确订立手机系统软件安全检测规范，未来草案经过预告搜集各方意见，明年6月可能就会施行。

智能手机的普及，逐渐成为骇客攻击、窃取资料的目标，手机内系统软件存在后门或漏洞，让有心人士得以搜集使用者个资，例如最近一家中国Android固件业者被发现擅自透过后门搜集使用者手机内的装置及通讯内容，另一家同样来自中国的固件业者遭爆有漏洞，让骇客得以取得根权限执行任意程式。

为推动手机资安防护，新通过的检测规范以手机系统、硬件、预载软件（不包含使用者自行下载安装App）等层面，明定手机的安全防护及隐私保护检测要求，NCC未来将委托第三方单位测试，由手机业者自主送测。

检测规范将智能手机系统内建软件的安全性分为三级，初级、中级、高级。初级以保护使用者的基本隐私为主，例如手机的安全性功能及个资保护，而中级则是进阶的资料保护为主，必需提供完整的保护，涵盖资料的使用、储存及传输，高级则需确保手机的核心底层不被窜改或非法存取资讯。NCC要求送测的手机至少需达到初级。

NCC基础设施事务处副处长徐国根表示，目前世界各国或组织对手机的安全规范并没有强制手机业者执行测试，国内草案也采取业者自律的精神，由业者自行送测取得安全分级，站在鼓励及资讯充份揭露的立场，NCC将公告通过检测取得安全认证分级的业者送测产品，以供国内消费者采购时的参考。有别于手机业者自行送测，NCC希望行动电信商积极送测旗下销售的绑约手机，而手机安全检测规范未来也会供政府机关公务手机的采购规范。

有鉴于部分不肖App未经使用者同意即搜集个资，Google在Android 6.0以上提供App存取资讯的权限控制功能，App存取麦克风、相机、联络人、定位等资讯必需获得使用者同意，NCC呼吁注重隐私的民众尽量使用Android 6.0以上版本手机。