在台湾大哥大自有品牌Amazing A32手机带来的资安事件中，引发许多关注，从供应链安全、产品安全，到SIM冒用、简讯OTP遭拦截、诈骗游戏点数，浅扯范围相当广泛。问题并不只是手机在生产制造阶段就被偷偷植入恶意程式，后续，诈骗集团更是利用该手机所使用的门号，向游戏公司申请游戏账号，并拦截手机用户的简讯OTP认证码，以成功建立冒名的游戏账号，再将从其他受害者骗取的游戏点数，储值至这些人头账户。

因此，这一连串事件之下，其实有相当多的受害者，同时暴露出不同面向的资安议题。

例如，被当成诈骗人头账户的民众，也就是使用Amazing A32手机并收到警方诈欺案通知书的民众，就是手机遭植入恶议程式的主要受害者，而被诈骗集团骗取游戏点数的民众，也是受害者之一。

对于台湾大哥大而言，他们自有品牌手机成为骇客下手的目标，并影响到自家用户，因此，他们既是受害者，同时也需负起主要责任。

到底，在Amazing A32手机遭植入恶意程式的事件中，有那些教训值得我们警惕？

-与业者都需加强白牌手机资安隐忧的把关

对于这次事件，国家通讯传播委员会（NCC）首先点名的是，关于白牌手机的资安议题，特别是由中国厂商设计制造的白牌手机，又是以台湾品牌对外销售，若品牌业者自身把关不足，容易带来风险。

因此，NCC提出两项因应措施，分别是：（一）行动业者自有品牌手机在大陆制造者，须符合资安标准才可贩售，（二）中国品牌手机、行动业者自有品牌陆制手机，将纳入年度抽测标的。

用户平时手机使用就要注意App和上网安全

不过，我们也要提醒的是，就NCC的作法来看，主要是帮助增加手机出厂时的安全管控，虽然这应该是品牌商本身的责任。

而一般民众也必须要知道的是，还有更多是用户自己要防范与留意的部分，例如，关于购买后的手机使用，包括上网、软件更新或App安装等行为，还是会面临到同样的风险，遭植入恶意程式。举例来说，有新的零时差漏洞被骇客利用，或是从AppStore或Google Paly市集下载的App，虽然苹果与Google会帮忙把关，但要知道的是，即便如此，还是有未知风险存在，若是使用者自行从其他市集或下载APK档，风险则是会更大。

企业对合作厂商与供应链要加强产品资安控管

对于企业而言，在这次事件中，由于台湾大哥大手机在生产阶段就遭植入恶意程式，意即出厂前遭骇，因此，关于产品上的安全品质管理，就成为这次事件下每个自有品牌业者关注的一大焦点。

特别的是，这款品牌手机是台湾大哥大交由“力平国际”负责，然后又是委外，因此这起事件也提醒了所有业者，对于合作伙伴与委外供应链的资安管理，必须更加重视。

目前刑事警察局研发科曾对外表示，发现该手机固件被植入恶意程式，不过，我们尚未看到业者公布调查结果，因此无法得知攻击者是从何管道渗透，以及如何植入恶意程式。

另外，这起事件除了受害民众向台湾大哥大求偿，而台湾大哥大是否向力平国际求偿，以及力平国际是否也向代工的中国厂商华珑公司求偿，或是这款自有品牌手机，是由台湾大哥大开规格，合作厂商仅依规格得标，因此不会有求偿合作厂商的状况，目前我们没有看到这方面的消息。

自有品牌业者对于产品资安事件应变要主动积极

还有一个普遍企业关注的焦点，就是产品资安事件应变。在这次台湾大哥大的事件应变过程中，我们注意到几个值得探讨的焦点。毕竟，产品资安事件应变的积极态度，以及自我揭露必要资讯，都可能影响品牌商誉，以及消费者对业者产品的信心。

首先，这次事件其实在2020年10月就曝光，有媒体报导刑事警察局发现台湾品牌白牌手机遭植入恶意程式，当时，台湾大哥大是否已经注意到这样的情资，开始调查自家产品是否受影响？

毕竟，在当时消息传出后，台湾大哥大无论知情与否，在这将近两个月期间，都没有公布自己产品是否遭骇，也没有通知用户处理或回收手机。这是否可能导致更多受害者在这段期间遇害，如能及早通知，或许可以让更多用户及早因应，而且，根据近期涉入游戏点数诈骗案并是Amazing A32手机的用户表示，他们之前到案说明时，由于不知道问题出在手机，因此当下也没有特别说明自己是使用这款手机，而可能延误了办案，或让侦办方以为用户不配合。

为此，我们曾询问台湾大哥大何时掌握到事件相关情资，不过，他们仅表示，案情以1月6日公布的声明稿为主，并基于遵守侦查不公开原则，所以不方便回应案情。

另外，在1月6日台湾大哥大的声明中，指出将召回Amazing A32手机，协助进行安全性软件升级，然而，这样的产品资安事件应变方式并不周延，因为并没有顾及已受害的民众。不过，到了1月12日，台湾大哥大再次出面向用户致歉，将提供相关用户必要的法律协助。因此，对于资安事件影响范围的完全掌控，也是普遍企业要重视的面向。

简讯OTP被拦截！
是诈骗集团冒用身份主因

在这次事件中，另一焦点是在简讯OTP机制的安全议题。根据NCC指出，在产制过程被植入恶意程式的Amazing A32手机，由台湾大哥大冠名授权品牌来台销售，当国内民众购买并使用手机后，攻击者可窃取该手机所使用的门号资讯，并利用借此向游戏公司申请游戏账号。

对于植入恶意程式的攻击者，与诈骗集团是否相同，我们并不清楚，不过，关于诈骗的详细流程，NCC有清楚的说明，当游戏公司传送游戏认证码简讯到该门号时，简讯同时回传给诈骗集团并在本机上自动删除，因此，诈骗集团可以拦截到的游戏认证码简讯，建立人头游戏账号。而当诈骗集团骗取游戏点数时，会透过国外IP位置将点数储值至该人头游戏账号内，进而导致不知情的Amazing A32手机用户，变成诈骗集团的人头。

因此，这起事件除了关注产制过程被植入恶意程式，同时也暴露了简讯OTP被拦截的现况。由于简讯OTP的安全议题，这几年欧美都已在关注，包括2016年美国NIST发布的数位认证指导原则草案，以及2019年欧盟PSD2的规范，台湾-、企业也要持续关注这方面的议题。