〔記者陳鈺馥/台北報導〕為瞭解中國廠牌資通訊設備的資安風險,行政院責成專業機構,針對中國智慧型手機、網通設備的安全性進行「黑箱檢測」(Black-Box Testing),發現小米、OPPO手機的APP,海康威視、浙江大華的網路攝影機,確實存在資安漏洞,恐造成公務機密外洩。
行政院資安官員表示,黑箱檢測是指「滲透測試」,專業測試單位會請專家模擬駭客攻擊模式,測試產品安全性強度,看看系統有無資安漏洞。
測試結果顯示,在智慧型手機部分,國家通訊傳播委員會(NCC)委請電信技術中心執行。針對手機韌體安全、通訊安全、系統安全等項目進行檢測,並將抽測結果函告廠商,且於二個月後就不合格項目進行複測。
小米手機 高達7個APP檢測未過
在台灣市占率前十大智慧型手機品牌中,據複測結果,OPPO有一個APP未符合檢測要求,小米手機達七個APP檢測未過,明顯存在資安疑慮;其餘蘋果、三星等手機均符合檢測要求。OPPO則說明,OPPO所檢測的手機與內建軟體,在國家通訊傳播委員會(NCC)四月第二次複測後,OPPO AX5已正式通過,檢測成功的證明也於五月初刊登在NCC官網。
此外,針對被歐美指控用來監控新疆維吾爾人的海康威視監視器,政院也責成經濟部工業局,對海康威視、浙江大華技術的影像攝錄設備進行「黑箱檢測」,就實體安全、系統安全、身分鑑別、授權機制安全、隱私權保護五大面向測試。
檢測發現,海康威視「DFI 6257E」網路槍型攝影機、大華技術「DH-IPC-HFW1230SN」紅外線IP攝影機,在影像監控系統資安標準一般要求上,皆有實體異常行為、無相關警示功能、作業系統與網路服務存在CVSSv3評分為7.0分以上之資安漏洞。
更驚人的是,中國海康威視、大華技術二款攝影機,存在使用不安全的加密演算法、驗證碼複雜度不足等問題,產品還有無建立外殼拆除障礙的情形。
大疆無人機 偽GPS訊號影響資安
在無人機設備方面,台灣水利機關常使用的中國深圳大疆創新科技公司(DJI)所生產的無人機,經NCC委請電信技術中心進行「黑箱檢測」,發現Mavic Pro鉑金版、Mavic 2 Pro、Phantom 4 Pro V2.0三款無人機,皆有偽GPS訊號影響,敏感性資料出現於日誌檔,及行動應用程式具資訊安全弱點等情況。