資安漏洞 手機被暗植惡意程式政府應速加強資安認證

新網記者歸鴻亭台北報導
2021/1/12 下午 04:09:18 / 虛擬網路

　國家通訊傳播委員會(NCC)本月6日晚間表示，接獲刑事警察局情資，發現台灣大哥大電信公司所販售的AMAZING A32手機製程中被暗中植入惡意程式，民眾購買、使用手機時，詐騙集團可利用該手機門號向遊戲公司申請遊戲帳號，不知情的手機使用者可能變成詐騙集團的人頭。

台灣大哥大電信公司所販售的AMAZING A32手機。(消費者文教基金會提供)

　消費者文教基金會表示，根據台灣大哥大內部資料，AMAZING A32是在2018年4月上市，已經在2020年7月下市。該款手機包含使用中、尚未售出、已淘汰或未使用者，共9萬多支；截至2020年12月20日止，使用該款手機的台灣大哥大用戶約7,600人。NCC先前有受理5件相關消費者申訴。台灣大表示，基於偵查不公開，無法提前告知大眾，但已提前以客服電話通知部分手機用戶，協助軟體升級或更換其他手機的手機門號，至少1,337個。台灣大哥大新聞稿指出，AMAZING A32手機為授權台灣廠商「力平國際」使用Amazing商標，委由中國廠商製造的手機。

　目前台灣大哥大公司宣布：全面召回AMAZING A32手機進行安全性軟體升級，民眾可至該公司官網下載更新程式，或即起可至台灣大各直營門市（1月8日後加盟門市也可辦理），由專人進行系統更新；同時也提出回收方案，民眾改辦其他手機方案可折抵1千元，並額外提供帳單金額折抵1千元。

　根據報載，這次發生問題的AMAZING A32被植入惡意程式位置，位於儲存原始系統的手機韌體，重置手機無法移除，且手機權限未被「解鎖」，研判屬於手機出廠前製程問題。目前政府針對智慧型手機的資安檢測採取分工形式，屬於手機與電腦之應用軟體（包含LINE）基本資安規範由經濟部主管，手機及出廠時已內建的軟體併同硬體由NCC主管。針對後者檢測，2017年3月通傳會公告「內建軟體資通安全檢測技術規範」，次月啟動智慧型手機系統內建軟體(Embedded Software on Smartphone Systems, ESS)資安標準與認證機制，惟該認證並非具有強制性，而是由手機製造商自主或委託送測。

　雖然手機系統內建軟體資安機制並非具有強制性，消基會認為，手機製造商應對販售商品負起自主或委託送驗的企業責任，確保產品品質符合《消保法》第7條規範，從事設計、生產、製造商品或提供服務之企業經營者，於提供商品流通進入市場，或提供服務時，應確保該商品或服務，符合當時科技或專業水準可合理期待之安全性。

　從本次事件可以得知，政府不僅對於手機資安防護措施要求嚴重不足，電信終端設備甚未納入資安檢測的強制規範，呼籲主管機關應當儘速檢討加強資安管理的強度，確保5G時代消費者電信消費的品質保障。

　因應本次事件，NCC針對該起資安事件，呼籲應儘速訂定資安認證機制，以保障消費者免受個資外洩，損及財產和身家安全之慮。電信業者應善盡企業基本責任，販售手機商品不應存有資安疑慮，呼籲各界建立社會共識。台灣大哥大貼牌手機資安外洩案件，對消費者造成的損失，業者應負起完全責任，沒有推拖餘地。為確保該業者販售之手機不再發生類似事件，不論貼牌或者自製產品，皆應提出資安維護計畫並落實進度，提供確保性的安全服務，挽回消費者的信心與信賴。