国家通讯传播委员会(NCC)表示,依《电信法》第 42 条第 1 项规定,手机之电信界面、电磁相容及电气安全依法应进行型式认证检测;另,因资安议题日益受到各界关注,NCC 参考 ISO / IEC 15408 、OWASP 及 NIST 等国际资安规范或指引,于 106 年 3 月 3 日订定发布“智能手机系统内建软件资通安全检测技术规范”,依内建软件的资料层、应用程序层、通讯协定层、操作系统层及硬件层分别订定检测项目,鼓励业者自主提供检测,确保其符合目前国际规范建议的资通安全要求,并提供给消费者做为参考。
NCC 强调,型式认证检测与智能手机内建软件资安检测,是两项分别进行的检测事项。两者不得混为一谈。
NCC 说明,现行手机使用的软件,包含手机系统内建软件及自行外加 App 两类,手机系统内建软件的资安检测由 NCC 推动,另外加 App 软件的资安检测是由经济部工业局推动。手机内建软件是指出厂预载软件、手机制造商授权销售商得加载的软件及无图示软件 3 种,目前台湾小米手机并未取得智能手机系统内建软件资通安全检测认证。
为确保手机出厂时的资通安全,NCC 呼吁所有手机厂商都应该自主办理智能手机系统内建软件资通安全检测认证。NCC 同时强调,资通安全本质为风险控管及相对安全概念,即使智能手机系统内建软件检测结果符合“智能手机系统内建软件资通安全检测技术规范”,也仅限于手机厂商宣称的内建软件符合技术规范之检测项目。
鉴于资安事件层出不穷及攻击手法日新月异,内建软件潜在漏洞亦可能后续才被发现,NCC 将定期检讨修正技术规范。已取得智能手机系统内建软件不同资通安全等级资安检测认证者,仍有该等级一定的资通安全保障。
NCC 进一步说明,虽然智能手机系统内建软件资通安全检测并非强制规定,但智能手机如有充分事证显示其内建软件有资安问题,并影响消费者权益时,NCC 将函请该手机制造商澄清说明,必要时请手机制造商提出具体改善措施,以保障国内消费者权益。
NCC 最后指出,台湾小米 27 日已正式声明(略以):“……台湾小米澄清台湾小米代理进口小米手机之硬件规格均经国家通讯传播委员会(NCC)认证,惟该硬件规格认证不包含 App 等软件之资安认证,本公司未来将适时配合 NCC 办理所代理进口小米手机之资安认证……”
(本文由 T客邦 授权转载;首图来源:Flickr/Maurizio Pesce CC BY 2.0)
