電信商手機在供應鏈被惡意軟體滲透，謎底揭曉是台灣大哥大，用戶簡訊OTP被攔截導致身分冒用

由台灣大哥大推出的自有品牌手機「Amazing A32」，在去年下半被警調單位發現，手機於生產階段就被暗中植入了惡意程式，使得詐騙集團可將用戶門號作為遊戲點數詐騙的人頭帳號，已有多位無辜民眾因此收到全臺警局與地檢署通知單，他們都被控告詐欺。不過，這起事件其實在2020年10月就曾曝光，只是當時未有業者出面說明。

早在2020年10月17日，TVBS與東森等電視媒體都有相關報導，隔日平面媒體自由時報也跟進，只是，當時警方並未揭露是何款掛上臺灣品牌的中國製白牌手機有問題，僅提到電信業者，但當時也並未有業者出面回應。

2021年初揭開謎底，台灣大哥大就是出事手機提供者

直到2021年1月6日，國家通訊傳播委員會（NCC）、台灣大哥大，各自發布相關公告。在NCC發布的聲明中，明確指出台灣大哥大的自有品牌Amazing A32手機，就是在產製階段遭植入惡意程式的手機，並表示這次事件凸顯相關大陸白牌手機帶來的資安議題，因此未來他們將進一步要求，需符合資安標準及納入年度抽測。同日，台灣大哥大宣布，全面召回這些有問題的手機，其合作廠商「力平國際」已釋出新版2.0作業系統，將協助用戶進行安全性軟體升級。

不僅如此，刑事警察局也在1月6日召開記者會，揭露這次案件的偵辦經過，他們是從半年前接獲民眾陳情開始，察覺被害人都是年長者，進而追蹤調查與分析。

值得關注的是，在這起事件下，不只是詐騙集團與黑色產業進而引發的社會事件，以及中國製白牌手機帶來的資安疑慮，行動業者自家產品委外代工的資安品管挑戰，我們還注意到一個容易被外界忽略的焦點，就是簡訊OTP遭攔截的事件，已經在臺灣發生，相關安全隱憂也很值得重視。

NCC表示，由於這款手機遭植惡意程式，因此攻擊者可竊取該手機所使用的門號資訊，利用來向遊戲公司申請遊戲帳號，同時又攔截遊戲公司傳到該門號的簡訊OTP認證碼。因此，他們已經要求台灣大哥大，需盡速釐清事件發生的主要原因，並依消費者保護法及電信管理法相關規定，儘速善後補救。同時，NCC特別指出，這次事件凸顯中國製白牌手機的資安議題，因此他們日後，針對此類以臺灣品牌銷售的中國白牌手機，將會採更嚴格的管理措施。

是否還有其他白牌手機受影響？國家通訊傳播委員會副處長吳銘仁表示，他們是在2020年11月接獲刑事警察局情資，進而得知Amazing A32手機存在資安疑慮，在產品生產階段即被植入惡意程式，之後他們也著手檢測這款手機，同時通知台灣大哥大儘速處理。

吳銘仁表示，NCC在2020年就針對市售手機，進行年度資安抽測作業，在得知此一情資後，他們也額外檢測該款手機，以及其他電信業者自有品牌手機。所幸，調查結果中，在其他自有品牌手機，並沒有發現類似情事。

另一方面，關於台灣大哥大在此事件的資安應變上，是否得知此一情況時，就將Amazing A32下架，並進行資安事件調查，以及委外代工資安品管過程檢討？

對此，台灣大哥大僅向我們答覆，該款手機2018年4月上市，在2020年7月已經下架，這意味著，在事件傳出時，消費者已經不會在通路上買到該產品。但對於其他爭議，他們則表示，以聲明稿為主，並基於遵守偵查不公開原則，不便回應案情。

而在台灣大哥大1月6日的聲明稿中，提及他們發現該款手機的資安疑慮後，已有相關處置動作。包括：封鎖海外7個惡意IP位址，並要求負責產製這款手機的臺灣廠商「力平國際」，開發新版2.0作業系統，以及再次清查「力平國際」生產的所有Amazing貼牌手機，他們查出，僅A32委由中國廠商華瓏公司代工，因而產生此資安疑慮，至於其他Amazing機型，則沒有相關問題。

現在，他們已經釋出該款手機的2.0版更新程式，供用戶在台灣大哥大官方網站下載，同時也建議用戶，可前往直營或加盟門市，由專人協助系統程式的更新升級。

2020年下半就有受害者，許多年長者淪為詐騙人頭

關於這起事件的調查經過，我們詢問最先偵辦此案的刑事警察局，根據該單位提供的說明，他們旗下打擊詐欺犯罪中心之所以偵辦，起先是在2020年7月接獲兩件民眾陳情，他們因為遊戲點數詐騙案件，收到地檢署通知單。由於這兩起案件當事人為50多歲與70多歲，因此警方察覺案情有異、不單純，於是展開關連式分析，接著在2020年8月共收集了48起案件，發現其共通特性，都是使用同一個廠牌的手機，因此繼而報請檢察官指揮調查，並在2020年9月，交由刑事警察局研發科進行數位鑑識，進而發現手機遭植入木馬，之後並依相關規定通報NCC。

後續，這起事件在2020年10月17日曝光，只是，當時警方並未揭露是品牌型號手機有問題，而當時也並未有業者出面回應。

A32手機售出達9萬支，影響用戶數恐不只2百人

只是，在這次事件相關脈絡整理之下，上述台灣大哥大的資安事件應變作法，也成為許多企業都在關注的焦點。

然而，我們可以發現，自從2020年10月有相關消息傳出，在這將近兩個月期間，台灣大哥大並未公布自家產品遭駭，未發布資安事件公告，也沒有及早通知用戶因應處理，也沒有出面回收手機，至到今年1月6日，才與NCC同日發布聲明。

更值得關注的是，在這次事件中，影響的用戶數量相當多。雖然台灣大哥大公布了影響範圍，指出Amazing A32共銷售出94,191支，現今仍使用台灣大哥大門號與該款手機的用戶數，也有7,557人，同時表示受影響用戶數約200人，不過，實際受害人數真是如此嗎？

例如，上述「受影響用戶數約200人」，所謂的影響並未清楚定義，是指業者已知被作為遊詐騙人頭帳號的人數？我們後續也已再次求證，目前台灣大哥大尚未回覆。

我們認為，受害者規模還可能更大。理由一，有些涉及遊戲點數詐騙案的手機用戶，可能還沒有向台灣大哥大申訴；理由二：有些這款手機用戶可能更換為別家電信業者門號，甚至曾使用多個SIM卡門號於這款手機；理由三，是否手機用戶已被註冊詐騙人頭帳號，但因為還沒被詐騙集團利用，所以受害者還不知情。而且，也不能排除還有其他更多犯行。

無論如何，這次台灣大哥大手機的事件，已經提醒所有企業，需重視產品安全，特別又是牽扯到合作夥伴與委外供應鏈的管理，甚至還造成廣大用戶面對刑事案件。

另一方面，對於被當成詐騙人頭帳號的用戶而言，因為購買與使用出廠即內建惡意程式的手機，後續是否能有法律上的求償，也成社會關心焦點。

而對於消費者而言，也可以重新省思，買手機時也要有資安意識，要關注產品品質，也需要注意資訊安全，而且不只是關注作業系統，也要留意內建App。許多人都想以更低成本買到手機，這是人之常情，而業者也因應這樣的需求，引進了中國製白牌手機，提供了低價位產品的選項，但如此一來，雙方是否都容易忽略了需考量資訊安全。

 系列報導2  Amazing A32手機用戶捲入遊戲點數詐騙案，淪為人頭帳戶，需跑全臺警局說明

 系列報導3  臺電信品牌手機遭駭事件的4大資安教訓