为带动智能手机制造商重视内建软件资通安全,促使制造商积极送测取得手机资安标章,让消费者放心,NCC 于 109 年下半年至 110 年第 1 季针对电信事业 109 年第 1、2 季销售量较高且未取得资安认证之 10 款不同厂牌智能手机,以及 3 款业者自有厂牌与 2 款其他中国大陆厂牌手机,进行手机系统内建软件之资通安全检测。经完成初测、复测及改善程序后,有 14 款手机通过检测。
NCC 表示,经考量台湾资通产业标准协会(TAICS)于 109 年 7 月公告之“智能手机系统内建软件资安测试规范”,本次检测系针对应用软件及通讯协定应有之个资保护及加密机制,从 TAICS 公告之测试规范中跨级别挑选 10 个基本项目进行检测,主要包括“内建软件应将账号、通行码或金钥储存于操作系统保护区内或以加密方式储存”、“内建软件应避免交谈识别码遭重送攻击”、“与付费功能服务器间传输,应使用安全之加密算法”、“不可于执行期间将敏感性资料储存于系统日志档案”、“存取敏感性资料前,应取得使用者同意”等项目。
而在经过检测后,共有 14 款手机通过测试。初测(110年1月)即通过的手机是苹果 iPhone 11;其余初测未通过,经手机制造商积极配合改善后复测通过(110年4月)的包含 SONY XPERIA 5、三星 GALAXY A20、HTC DESIRE 19S、ASUS ZENFONE MAX M2、台湾大哥大 A55 及 A57、SUGAR C13、红米REDMI NOTE 8T、华为 Y9 PRIME 2019、OPPO A9 2020、Koobee S16、REALME XT、VIVO Y12等 13 款。
NCC 指出,本次检测系并非强制性规定,目的是为提升消费者资安意识,带动智能手机制造商重视手机内建软件之资通安全,并借由公布检测项目全数通过测试之手机厂牌型号,以资鼓励。至于未通过之手机型号,因考量其内建软件尚有漏洞,则不予公布并已请相关业者持续完善应处,避免发生资安事件。
NCC 强调,前述通过检测之各款手机,代表其系统操作等内建软件版本在检测当下符合测项要求。惟考量目前资安事件层出不穷及骇客攻击手法日新月异,通过检测的手机,并不能保证未来手机之安全性,手机内建软件如有更新版本,手机制造商应就更新部分重新检测及验证,始能维持其通过之资安等级,如事后被发现其系统内建软件有资安漏洞或风险时,制造商仍应及时修补。
(首图来源:科技新报)
