國家通訊傳播委員會（下稱NCC）審酌智慧型手機之使用已與民眾生活密不可分，其資通安全防護如有不足，可能影響民眾個資隱私遭洩露、冒用或造成財物損失，為帶動智慧型手機製造商重視內建軟體資通安全，促使製造商積極送測取得手機資安標章，讓消費者放心，並督促製造商對手機版本更新亦能積極送測，及向民眾推廣手機資安防護意識、保護消費者權益，NCC於109年下半年至110年第1季針對電信事業109年第1、2季銷售量較高且未取得資安認證之10款不同廠牌智慧型手機，以及3款業者自有廠牌與2款其他中國大陸廠牌手機，進行手機系統內建軟體之資通安全檢測，經完成初測、複測及改善程序後，有14款手機通過檢測。

    NCC表示，因手機資安威脅與日俱增，經考量台灣資通產業標準協會（TAICS）於109年7月公告之「智慧型手機系統內建軟體資安測試規範」，其內容針對資料保護、程式執行安全及傳輸保護均訂有相關檢測項目，爰本次檢測係針對應用軟體及通訊協定應有之個資保護及加密機制，從TAICS公告之測試規範中跨級別挑選10個基本項目進行檢測，主要包括「內建軟體應將帳號、通行碼或金鑰儲存於作業系統保護區內或以加密方式儲存」、「內建軟體應避免交談識別碼遭重送攻擊」、「與付費功能伺服器間傳輸，應使用安全之加密演算法」、「不可於執行期間將敏感性資料儲存於系統日誌檔案」、「存取敏感性資料前，應取得使用者同意」等項目。14款通過檢測之手機如下：：

一、初測（110年1月）即通過：APPLE iPhone 11。

二、複測（110年4月）後通過：初測未通過，經手機製造商積極配合改善後複測通過，包括SONY XPERIA 5、三星GALAXY A20、HTC DESIRE 19S、ASUS ZENFONE MAX M2、台灣大哥大A55及A57、SUGAR C13、紅米REDMI NOTE 8T、華為Y9 PRIME 2019、OPPO A9 2020、Koobee S16、REALME XT、VIVO Y12等13款。

    NCC指出，本次檢測係依行政院國家資通安全會報103年6月24日第26次會議決議辦理，並非強制性規定，目的是為提升消費者資安意識，帶動智慧型手機製造商重視手機內建軟體之資通安全，並藉由公布檢測項目全數通過測試之手機廠牌型號，以資鼓勵；至於未通過之手機型號，因考量其內建軟體尚有漏洞，則不予公布並已請相關業者持續完善應處，避免發生資安事件。

    NCC強調，前述通過檢測之各款手機，代表其系統操作等內建軟體版本在檢測當下符合測項要求。惟考量目前資安事件層出不窮及駭客攻擊手法日新月異，通過檢測的手機，並不能保證未來手機之安全性，手機內建軟體如有更新版本，手機製造商應就更新部分重新檢測及驗證，始能維持其通過之資安等級，如事後被發現其系統內建軟體有資安漏洞或風險時，製造商仍應及時修補，並請民眾注意相關修補資訊。另外，手機資安風險更包括民眾「自行安裝」之APP及使用習慣等，因此，民眾仍須提高資安風險意識及警覺性，選擇值得信任的手機及APP。

    NCC並提供民眾保持良好使用手機習慣，切記「三不五要」，以加強保護個人資料與隱私安全：

一、三不：

(一)不瀏覽可疑網站：瀏覽可疑網站，可能會在手機使用者未注意情形下，自動下載軟體駭入手機，竊取手機內個資或隱私。

(二)不連接可疑之Wi-Fi：具惡意接取點可能監聽手機使用者通訊內容，提升重要資訊洩露風險。

(三)不強行取得管理者權限：如利用可疑APP取得手機管理者權限，可能導致手機上所有個資及隱私遭竊。

二、五要：

(一)要定期更新密碼：應避免過於簡單之密碼，易遭駭客破解。

(二)要更新軟體程式及備份資料：可避免舊版程式漏洞造成損害及資料遺失。

(三)要關閉未使用的Wi-Fi/藍牙/NFC等介面：可減少具惡意設備連接，降低手機被駭風險。

(四)連接的Wi-Fi要開啟加密防護：可避免有心人監聽手機網路通訊取得重要資訊。

(五)手機不再用時要刪除機敏資料：可避免機敏資料遭他人擷取。

    NCC進一步強調，為強化民眾對智慧型手機資安防護意識及確保消費者權益，除在NCC官方網站設置手機資安宣導專區外，亦持續關注國際間對連網設備之相關資安防護建議或措施，滾動修正手機系統內建軟體相關檢測規定，並適時向民眾揭露手機內建軟體可能存在之資安威脅或風險。未來仍會在有限行政資源內，持續推動智慧型手機內建軟體資通安全抽測並公布結果，亦會對高風險產地之手機加強抽測，以促使手機製造商更加重視手機內建軟體資通安全，確保消費者權益。

連 絡 人：吳副處長銘仁

電    話：02-3343-8202

行動電話：0928-601-199