欢迎光临GGAMen游戏资讯




NCC 反驳小米:通过 NCC 型式认证,不代表手机的资安就没问题

2024-12-26 210

近日媒体报导小米手机遭植入恶意软件,台湾小米第一时间以其手机均取得 NCC 认证,回应媒体报导小米手机遭植入恶意软件问题,NCC 严正表示,NCC 依《电信法》第 42 条第 1 项规定,针对手机之电信界面、电磁相容及电气安全进行型式认证检测,检测范围并不含手机内建软件的资安检测,NCC 已要求台湾小米不得以手机经 NCC 型式认证混称手机内建软件亦取得资安认证。

国家通讯传播委员会(NCC)表示,依《电信法》第 42 条第 1 项规定,手机之电信界面、电磁相容及电气安全依法应进行型式认证检测;另,因资安议题日益受到各界关注,NCC 参考 ISO / IEC 15408 、OWASP 及 NIST 等国际资安规范或指引,于 106 年 3 月 3 日订定发布“智能手机系统内建软件资通安全检测技术规范”,依内建软件的资料层、应用程序层、通讯协定层、操作系统层及硬件层分别订定检测项目,鼓励业者自主提供检测,确保其符合目前国际规范建议的资通安全要求,并提供给消费者做为参考。

NCC 强调,型式认证检测与智能手机内建软件资安检测,是两项分别进行的检测事项。两者不得混为一谈。

NCC 说明,现行手机使用的软件,包含手机系统内建软件及自行外加 App 两类,手机系统内建软件的资安检测由 NCC 推动,另外加 App 软件的资安检测是由经济部工业局推动。手机内建软件是指出厂预载软件、手机制造商授权销售商得加载的软件及无图示软件 3 种,目前台湾小米手机并未取得智能手机系统内建软件资通安全检测认证。

为确保手机出厂时的资通安全,NCC 呼吁所有手机厂商都应该自主办理智能手机系统内建软件资通安全检测认证。NCC 同时强调,资通安全本质为风险控管及相对安全概念,即使智能手机系统内建软件检测结果符合“智能手机系统内建软件资通安全检测技术规范”,也仅限于手机厂商宣称的内建软件符合技术规范之检测项目。

鉴于资安事件层出不穷及攻击手法日新月异,内建软件潜在漏洞亦可能后续才被发现,NCC 将定期检讨修正技术规范。已取得智能手机系统内建软件不同资通安全等级资安检测认证者,仍有该等级一定的资通安全保障。

NCC 进一步说明,虽然智能手机系统内建软件资通安全检测并非强制规定,但智能手机如有充分事证显示其内建软件有资安问题,并影响消费者权益时,NCC 将函请该手机制造商澄清说明,必要时请手机制造商提出具体改善措施,以保障国内消费者权益。

NCC 最后指出,台湾小米 27 日已正式声明(略以):“……台湾小米澄清台湾小米代理进口小米手机之硬件规格均经国家通讯传播委员会(NCC)认证,惟该硬件规格认证不包含 App 等软件之资安认证,本公司未来将适时配合 NCC 办理所代理进口小米手机之资安认证……”

(本文由 T客邦 授权转载;首图来源:Flickr/Maurizio Pesce CC BY 2.0)

2019-03-16 18:30:00

标签:   游戏头条 资讯头条 ggamen科技资讯 ggamen科技 ggamen科技资讯头条 科技资讯头条 ggamen游戏财经 新闻网 科技新闻网 科技新闻 ggamen 科技新闻 科技新闻网 新闻网 ggamen游戏财经 ggamen科技资讯头条 ggamen科技 ggamen科技资讯 资讯头条 游戏头条 ggamen ggamen游戏新闻网 科技新闻 科技新闻网 ggamen游戏财经 科技资讯头条 ggamen科技资讯头条 ggamen科技资讯 资讯头条 游戏头条
0