為保障消費者權益,本會於108年試行市售手機資安抽測作業,並委託經經財團法人全國認證基金會(TAF)認可之測試實驗室-財團法人電信技術中心(TTC)針對電信業者108年第1季銷售量較高之10款不同品牌智慧型手機進行測試。相關測試項目係自本會公告之「智慧型手機系統內建軟體資通安全檢測技術規範」擇定,確認待測手機內建軟體無下列情事:
●未將敏感性資料(如:個人資料)加密或儲存於作業系統保護區。
●無線傳輸敏感性資料時,未使用加密傳輸。
●內建軟體之交談識別碼遭重送攻擊。
●與付費功能伺服器間傳輸,未使用安全之加密演算法。
●初次存取使用者綁定裝置之帳戶,未先認證使用者身分及權限。
●內建軟體未具備處理資料隱碼攻擊字串之能力。
●內建軟體未具備處理延伸標記語言攻擊字串之能力。
●內建軟體與伺服器溝通之帳號、密碼及金鑰以明文方式存於執行檔。
●內建軟體預設開啟不必要之權限,或系統預設開啟不必要之網路連接埠。
●系統更新時以明文方式傳輸。
本會已於109年5月8日發布抽測結果(新聞稿詳網址:https://www.ncc.gov.tw/chinese/news_detail.aspx?site_content_sn=8&sn_f=43108)。10款手機,經完成初測、改善及複測後,9款通過測試,另1款於結果發布後隔週完成改善。結果如下:
●初測即通過:APPLE iPhone XR。
●第1次複測後通過:經2個月改善期後,HTC U12、三星GALAXY A7 2018、NOKIA 8.1、SONY XPERIA L2、ASUS ZENFONE MAX M1、SUGAR P1、華為Y9 2019等7款。
●第2次複測後通過:OPPO AX5。
●結果發布後完成改善:紅米NOTE 6 PRO。
前述通過測試各型手機,代表其系統操作等內建軟體版本在檢測當下符合測項要求。考量目前資安事件層出不窮及駭客攻擊手法日新月異,通過抽測的手機,如事後被發現其系統內建軟體有資安漏洞或風險時,製造商仍應予儘速修補。另外,手機資安風險更包括民眾「自行安裝」之行動應用APP及使用習慣等,民眾仍須提高資安風險意識及警覺性,選擇值得信任的手機,並保持良好的「三不五要」使用習慣,包括:
●三不:
◆不強行取得管理者權限。
◆不瀏覽可疑網站。
◆不連接可疑Wi-Fi。
●五要:
◆定期更新密碼。
◆更新軟體及備份資料。
◆關閉未使用Wi-Fi/藍牙等介面。
◆連接Wi-Fi要開啟加密防護。
◆手機廢置前要刪除機敏資料。
未來,本會持續與行政院消保處、資安處合作,每年辦理年度十大品牌手機、大陸品牌手機、大陸白牌手機之內建軟體資安抽測,並聯合發布抽測結果。抽測結果不符標準者,將依消費者保護法規定,請業者或製造商改善,以提升消費者資安意識,並藉由結果公布後之輿論,帶動智慧型手機製造商重視手機內建軟體之資通安全。