為保障消費者權益、提升資安意識,提升智慧手機製造商對於內建軟體資安意識,國家通訊傳播委員會(NCC)去年下半年,針對電信事業108年第1季銷售量較高的10款不同品牌智慧型手機進行抽測,經完成初測、複測及改善後,有9款手機通過測試,另尚有1個型號尚未通過測式,因考量內建軟體尚有漏洞,則不公布,並已請廠商修補妥處。
NCC表示,這次檢測,主要依據行政院國家資通安全會報103年6月24日第26次決議辦理,其並非強制性規定,且為試辦性質,檢測內容包括,「未將敏感性資料(如:個人資料)加密或儲存於作業系統保護區」、「具付費功能之內建軟體加密強度不足」、「與付費功能伺服器間傳輸,未使用安全之加密演算法」、「預設開啟不必要之權限」、「初次存取使用者綁定裝置之帳戶未先認證使用者身分及權限」等10個項目進行檢測。
10款手機中,有9款手機內建軟體通過驗測,分別為APPLE iPhone XR在初測(108年10月)即通過;經二個月改善期,第一次複測(109年2月)後通過的手機品牌有HTC U12、三星GALAXY A7 2018、NOKIA 8.1、SONY XPERIA L2、ASUS ZENFONE MAX M1、SUGAR P1、華為Y9 2019等7款;OPPO AX5則是經過第二次複測(109年4月)後通過。
NCC指出,本次檢測成果已獲行政院消費者保護處及資通安全處肯認,並擬藉由公布檢測項目全數通過測試之手機廠牌型號,以資鼓勵,至於尚有1手機型號未通過,因考量內建軟體尚有漏洞,則不公布,並已請廠商修補妥處,以避免駭客乘機入侵,造成既有使用者的個資及隱私安全受到威脅。
NCC強調,考量目前資安事件層出不窮,及駭客攻擊手法日新月異,通過抽測的手機,如事後被發現其系統內建軟體有資安漏洞或風險時,製造商仍應予儘速修補,並提醒,手機資安風險也包括民眾「自行安裝」的行動應用APP及使用習慣等,民眾仍須提高資安風險意識及警覺性,選擇值得信任的手機。
NCC提供民眾保持良好使用手機習慣的三不、五要口訣,加強保護個人資料與隱私安全
三不:不強行取得根管理者(root)權限或越獄(JB)、不瀏覽可疑網站、不連接可疑Wi-Fi接取點。
五要:要定期更新密碼、要更新軟體程式及備份資料、要關閉未使用的Wi-Fi/藍牙/NFC等介面、連接的Wi-Fi接取點要開啟加密防護、手機廢置前要刪除機敏資料。