NCC 公佈 2020 年手機資安抽測結果,iPhone 11 第一次就通過
智慧手機可以做的事情愈來愈多,而安全性也日益重要,畢竟要是手機被入侵或是被冒用,不但個人資料有可能洩漏,甚至還有機會破財。而國家通訊傳播委員會(NCC)為帶動智慧型手機製造商重視內建軟體資通安全,促使製造商積極送測取得手機資安標章,及向民眾推廣手機資安防護意識,每年會抽查市面上智慧手機的安全性並做檢測,而日前 NCC 也公開了 2020 年的智慧手機資安檢測結果。
Photo by Dan Nelson on Unsplash
NCC 指出,NCC 於 2020 年下半年至 2021 年第 1 季針對 2020 年第 1、2 季電信業者銷售量較高且未取得資安認證之 10 款不同廠牌智慧型手機,以及 3 款業者自有廠牌與 2 款其他中國大陸廠牌手機,進行手機系統內建軟體之資通安全檢測,經完成初測、複測及改善程序後,有 14 款手機通過檢測、1 款不通過。
其中,iPhone 11 在 2021 年 1 月第一次測試就通過檢測,而初測沒通過手機,經過製造商配合改善後,於 2021 年 4 月進行複測,這一次包括 Sony Xperia 5、三星 Galaxy A20、HTC Desire 19s、ASUS ZenFone Max M2、台灣大哥大 Amazing A55 / A57、SUGAR C13、Redmi Note 8T、HUAWEI Y9 Prime 2019、OPPO A9 2020、Koobee S16、realme XT、vivo Y12 等手機也通過檢測。不過 NCC 並沒有公佈唯一一款未檢測通過的手機機種,理由是「考量其內建軟體尚有漏洞不予公布,並已請相關業者持續完善應處,避免發生資安事件。」
▲ iPhone 11 是首次資安檢測就通過的唯一手機。
NCC 此次測試是採用台灣資通產業標準協會(TAICS)於 2020 年 7 月公告之「智慧型手機系統內建軟體資安測試規範」挑選 10 個基本項目進行檢測,主要包括「內建軟體應將帳號、通行碼或金鑰儲存於作業系統保護區內或以加密方式儲存」、「內建軟體應避免交談識別碼遭重送攻擊」、「與付費功能伺服器間傳輸,應使用安全之加密演算法」、「不可於執行期間將敏感性資料儲存於系統日誌檔案」、「存取敏感性資料前,應取得使用者同意」等項目。
NCC 強調,前述通過檢測之各款手機,代表其系統操作等內建軟體版本在檢測當下符合測項要求。但考量目前資安事件層出不窮及駭客攻擊手法日新月異,通過檢測的手機,並不能保證未來手機之安全性,手機內建軟體如有更新版本,手機製造商應就更新部分重新檢測及驗證,始能維持其通過之資安等級,如事後被發現其系統內建軟體有資安漏洞或風險時,製造商仍應及時修補,並請民眾注意相關修補資訊。另外,手機資安風險更包括民眾「自行安裝」之 APP 及使用習慣等,因此,民眾仍須提高資安風險意識及警覺性,選擇值得信任的手機及 APP。
此外,NCC 也呼籲民眾保持良好手機使用習慣,以加強保護個資與隱私安全,包括不瀏覽可疑網站、不連接可疑之 Wi-Fi、不強行取得管理者權限等「三不」;以及要定期更新密碼、要更新軟體程式及備份資料、要關閉未使用的 Wi-Fi / 藍牙 / NFC 等介面、連接的 Wi-Fi 要開啟加密防護、手機不再用時要刪除機敏資料等「五要」措施。
引用來源:國家通訊傳播委員會
Photo by Dan Nelson on Unsplash
NCC 指出,NCC 於 2020 年下半年至 2021 年第 1 季針對 2020 年第 1、2 季電信業者銷售量較高且未取得資安認證之 10 款不同廠牌智慧型手機,以及 3 款業者自有廠牌與 2 款其他中國大陸廠牌手機,進行手機系統內建軟體之資通安全檢測,經完成初測、複測及改善程序後,有 14 款手機通過檢測、1 款不通過。
其中,iPhone 11 在 2021 年 1 月第一次測試就通過檢測,而初測沒通過手機,經過製造商配合改善後,於 2021 年 4 月進行複測,這一次包括 Sony Xperia 5、三星 Galaxy A20、HTC Desire 19s、ASUS ZenFone Max M2、台灣大哥大 Amazing A55 / A57、SUGAR C13、Redmi Note 8T、HUAWEI Y9 Prime 2019、OPPO A9 2020、Koobee S16、realme XT、vivo Y12 等手機也通過檢測。不過 NCC 並沒有公佈唯一一款未檢測通過的手機機種,理由是「考量其內建軟體尚有漏洞不予公布,並已請相關業者持續完善應處,避免發生資安事件。」
▲ iPhone 11 是首次資安檢測就通過的唯一手機。
NCC 此次測試是採用台灣資通產業標準協會(TAICS)於 2020 年 7 月公告之「智慧型手機系統內建軟體資安測試規範」挑選 10 個基本項目進行檢測,主要包括「內建軟體應將帳號、通行碼或金鑰儲存於作業系統保護區內或以加密方式儲存」、「內建軟體應避免交談識別碼遭重送攻擊」、「與付費功能伺服器間傳輸,應使用安全之加密演算法」、「不可於執行期間將敏感性資料儲存於系統日誌檔案」、「存取敏感性資料前,應取得使用者同意」等項目。
NCC 強調,前述通過檢測之各款手機,代表其系統操作等內建軟體版本在檢測當下符合測項要求。但考量目前資安事件層出不窮及駭客攻擊手法日新月異,通過檢測的手機,並不能保證未來手機之安全性,手機內建軟體如有更新版本,手機製造商應就更新部分重新檢測及驗證,始能維持其通過之資安等級,如事後被發現其系統內建軟體有資安漏洞或風險時,製造商仍應及時修補,並請民眾注意相關修補資訊。另外,手機資安風險更包括民眾「自行安裝」之 APP 及使用習慣等,因此,民眾仍須提高資安風險意識及警覺性,選擇值得信任的手機及 APP。
此外,NCC 也呼籲民眾保持良好手機使用習慣,以加強保護個資與隱私安全,包括不瀏覽可疑網站、不連接可疑之 Wi-Fi、不強行取得管理者權限等「三不」;以及要定期更新密碼、要更新軟體程式及備份資料、要關閉未使用的 Wi-Fi / 藍牙 / NFC 等介面、連接的 Wi-Fi 要開啟加密防護、手機不再用時要刪除機敏資料等「五要」措施。
引用來源:國家通訊傳播委員會
廣告
網友評論 0 回覆本文