為了確保市售手機有符合資安標準,NCC 稍早公布「110 年手機內建軟體資安抽測結果」,主要在 110 年下半年至 111 年第 1 季期間,針對 110 年第 1、2 季銷售量較高,且未取得資安認證的 10 款不同廠牌智慧型手機,以及額外 5 款中國廠牌手機,合計 15 款進行系統內建軟體的資安檢測;其中 iPhone 12 是唯一在初測通過檢測的手機,其餘 14 款則陸續在複測後通過檢測。
NCC 表示,隨著手機資安威脅日漸升高,這一次的抽測更注重於應用軟體的「個資保護」及「加密機制」,因此特別挑選「內建軟體應將帳號、通行碼或金鑰儲存於作業系統保護區內或以加密方式儲存」、「內建軟體應避免交談識別碼遭重送攻擊」、「與付費功能伺服器間傳輸,應使用安全之加密演算法」、「不可於執行期間將敏感性資料儲存於系統日誌檔案」、「存取敏感性資料前,應取得使用者同意」等 10 個資安項目進行檢測。
▲NCC 本次針對 10 款於 110 年前兩季銷售量較高的手機,以及另外 5 款中國廠牌手機進行檢測。
本次進行檢測的 15 款手機,除了初測即通過的 Apple iPhone 12 外,其餘經過改善後複測通過的有 ASUS Zenfone 7、HTC Desire 20+、SAMSUNG Galaxy A42、Sony Xperia 5 II、OPPO A72、OPPO Reno5、realme X50、realme C3、SUGAR T30、vivo Y20、vivo Y50、小米 Redmi Note 9T、小米 Redmi Note 9 Pro、小米 Xiaomi 10 Lite 5G 等。以上包含 10 個品牌,其中以小米旗下手機最多。
▲除了蘋果初測即通過,其他包括 ASUS、HTC、SAMSUNG、Sony、OPPO、realme、SUGAR、vivo、小米,則是在複測時通過檢測。
三不五要安全口訣
另外,NCC 也強調上述手機雖然通過安全檢測,但是考量資安事件層出不窮,駭客攻擊手法日新月異,通過檢測的手機,並不能保證未來使用安全性,尤其大家平時下載「自行安裝」的 APP,也都存有風險不一的資安疑慮,大家務必要提高警覺性。NCC 以下提供「三不五要」口訣,協助用戶加強保護個資與隱私安全的意識。
一、三不:
不瀏覽:不瀏覽可疑網站,以避免可能在手機使用者未注意情形下,自動下載軟體駭入手機,竊取手機內個資或隱私。
不連接:不連接可疑之 Wi-Fi,具惡意接取點可能監聽手機使用者通訊內容,提升重要資訊洩露風險。
不強取:不強行取得管理者權限,如利用可疑 APP 取得手機管理者權限,可能導致手機上所有個資及隱私遭竊。
二、五要:要更新:要定期更新密碼,並應避免過於簡單之密碼,易遭駭客破解。
要備份:要更新軟體程式及備份資料,以避免舊版程式漏洞造成損害及資料遺失。
要關閉:要關閉未使用的 Wi-Fi / 藍牙 / NFC 等介面,以減少具惡意設備連接,降低手機被駭風險。
要加密:連接的 Wi-Fi 要開啟加密防護,可避免有心人監聽手機網路通訊取得重要資訊。
要刪除:手機不再用時要刪除機敏資料,可避免機敏資料遭他人擷取。
