109年度智慧型手機系統內建軟體資安抽測
為帶動手機製造商重視智慧型手機系統內建軟體資安防護,保障消費者權益,國家通訊傳播委員會(NCC)持續於109年辦理市售手機資安抽測作業,在109年下半年至110年第1季針對台灣電信產業發展協會統計109年上半年銷售量較高且未取得資安認證之10款不同廠牌智慧型手機,以及3款電信事業自有廠牌與2款大陸廠牌手機,委託經財團法人全國認證基金會認可之財團法人電信技術中心資安測試實驗室進行手機系統內建軟體之資通安全檢測。檢測之項目係針對應用軟體及通訊協定應有之個資保護及加密機制,從台灣資通產業標準協會於109年7月公告之「智慧型手機系統內建軟體資安測試規範」中跨級別挑選10個基本項目進行檢測,主要包括:
- 內建軟體應將帳號、通行碼或金鑰儲存於作業系統保護區內或以加密方式儲存。
- 內建軟體應避免交談識別碼遭重送攻擊。
- 與付費功能伺服器間傳輸,應使用安全之加密演算法。
- 不可於執行期間將敏感性資料儲存於系統日誌檔案。
- 存取敏感性資料前,應取得使用者同意。
NCC已於109年5月8日發布抽測結果(新聞稿),14款通過檢測之手機如下:
- 初測(110年1月)通過:APPLE iPhone 11。
- 複測(110年4月)後通過:初測未通過,經手機製造商積極配合改善後複測通過,包括SONY XPERIA 5、三星GALAXY A20、HTC DESIRE 19S、ASUS ZENFONE MAX M2、台灣大哥大A55及A57、SUGAR C13、紅米REDMI NOTE 8T、華為Y9 PRIME 2019、OPPO A9 2020、Koobee S16、REALME XT、VIVO Y12等13款。
前述通過檢測之各款手機,代表其系統操作等內建軟體版本在檢測當下符合測項要求;惟考量資安事件層出不窮及駭客攻擊手法日新月異,通過檢測的手機,並不能保證未來手機之安全性,手機內建軟體如有更新版本,手機製造商應就更新部分重新檢測及驗證,始能維持其通過之資安等級,如事後被發現其系統內建軟體有資安漏洞或風險時,製造商仍應及時修補,並請民眾注意相關更新、修補資訊。另外,手機資安風險更包括民眾「自行安裝」之APP及使用習慣等,因此,民眾仍須提高資安風險意識及警覺性,選擇值得信任的手機及APP,並保持良好的「三不五要」使用習慣,包括:
-
- 三不:
- 不瀏覽可疑網站:瀏覽可疑網站,可能會在手機使用者未注意情形下,自動下載軟體駭入手機,竊取手機內個資或隱私。
- 不連接可疑之Wi-Fi:具惡意接取點可能監聽手機使用者通訊內容,提升重要資訊洩露風險。
- 不強行取得管理者權限:如利用可疑APP取得手機管理者權限,可能導致手機上所有個資及隱私遭竊。
- 三不:
-
- 五要:
- 要定期更新密碼:應避免過於簡單之密碼,易遭駭客破解。
- 要更新軟體程式及備份資料:可避免舊版程式漏洞造成損害及資料遺失。
- 要關閉未使用的Wi-Fi/藍牙/NFC等介面:可減少具惡意設備連接,降低手機被駭風險。
- 連接的Wi-Fi要開啟加密防護:可避免有心人監聽手機網路通訊取得重要資訊。
- 手機不再用時要刪除機敏資料:可避免機敏資料遭他人擷取。
- 五要:
為強化民眾對智慧型手機資安防護意識及確保消費者權益,NCC除在官方網站設置手機資安宣導專區外,亦持續關注國際間對連網設備之相關資安防護建議或措施,滾動修正手機系統內建軟體相關檢測規定,並適時向民眾揭露手機內建軟體可能存在之資安威脅或風險。未來仍會在有限行政資源內,持續推動智慧型手機內建軟體資通安全抽測並公布結果,亦會對高風險產地之手機加強抽測,以促使手機製造商更加重視手機內建軟體資通安全,確保消費者權益。