在台灣大哥大自有品牌Amazing A32手機帶來的資安事件中,引發許多關注,從供應鏈安全、產品安全,到SIM冒用、簡訊OTP遭攔截、詐騙遊戲點數,牽扯範圍相當廣泛。問題並不只是手機在生產製造階段就被偷偷植入惡意程式,後續,詐騙集團更是利用該手機所使用的門號,向遊戲公司申請遊戲帳號,並攔截手機用戶的簡訊OTP認證碼,以成功建立冒名的遊戲帳號,再將從其他受害者騙取的遊戲點數,儲值至這些人頭帳戶。

因此,這一連串事件之下,其實有相當多的受害者,同時暴露出不同面向的資安議題。

例如,被當成詐騙人頭帳戶的民眾,也就是使用Amazing A32手機並收到警方詐欺案通知書的民眾,就是手機遭植入惡議程式的主要受害者,而被詐騙集團騙取遊戲點數的民眾,也是受害者之一。

對於台灣大哥大而言,他們自有品牌手機成為駭客下手的目標,並影響到自家用戶,因此,他們既是受害者,同時也需負起主要責任。

到底,在Amazing A32手機遭植入惡意程式的事件中,有那些教訓值得我們警惕?

政府與業者都需加強白牌手機資安隱憂的把關

對於這次事件,國家通訊傳播委員會(NCC)首先點名的是,關於白牌手機的資安議題,特別是由中國廠商設計製造的白牌手機,又是以臺灣品牌對外銷售,若品牌業者自身把關不足,容易帶來風險。

因此,NCC提出兩項因應措施,分別是:(一)行動業者自有品牌手機在大陸製造者,須符合資安標準才可販售,(二)中國品牌手機、行動業者自有品牌陸製手機,將納入年度抽測標的。

用戶平時手機使用就要注意App和上網安全

不過,我們也要提醒的是,就NCC的作法來看,主要是幫助增加手機出廠時的安全管控,雖然這應該是品牌商本身的責任。

而一般民眾也必須要知道的是,還有更多是用戶自己要防範與留意的部分,例如,關於購買後的手機使用,包括上網、軟體更新或App安裝等行為,還是會面臨到同樣的風險,遭植入惡意程式。舉例來說,有新的零時差漏洞被駭客利用,或是從AppStore或Google Paly市集下載的App,雖然蘋果與Google會幫忙把關,但要知道的是,即便如此,還是有未知風險存在,若是使用者自行從其他市集或下載APK檔,風險則是會更大。

企業對合作廠商與供應鏈要加強產品資安控管

對於企業而言,在這次事件中,由於台灣大哥大手機在生產階段就遭植入惡意程式,意即出廠前遭駭,因此,關於產品上的安全品質管理,就成為這次事件下每個自有品牌業者關注的一大焦點。

特別的是,這款品牌手機是台灣大哥大交由「力平國際」負責,然後又是委外,因此這起事件也提醒了所有業者,對於合作夥伴與委外供應鏈的資安管理,必須更加重視。

目前刑事警察局研發科曾對外表示,發現該手機韌體被植入惡意程式,不過,我們尚未看到業者公布調查結果,因此無法得知攻擊者是從何管道滲透,以及如何植入惡意程式。

另外,這起事件除了受害民眾向台灣大哥大求償,而台灣大哥大是否向力平國際求償,以及力平國際是否也向代工的中國廠商華瓏公司求償,或是這款自有品牌手機,是由台灣大哥大開規格,合作廠商僅依規格得標,因此不會有求償合作廠商的狀況,目前我們沒有看到這方面的消息。

自有品牌業者對於產品資安事件應變要主動積極

還有一個普遍企業關注的焦點,就是產品資安事件應變。在這次台灣大哥大的事件應變過程中,我們注意到幾個值得探討的焦點。畢竟,產品資安事件應變的積極態度,以及自我揭露必要資訊,都可能影響品牌商譽,以及消費者對業者產品的信心。

首先,這次事件其實在2020年10月就曝光,有媒體報導刑事警察局發現台灣品牌白牌手機遭植入惡意程式,當時,台灣大哥大是否已經注意到這樣的情資,開始調查自家產品是否受影響?

畢竟,在當時消息傳出後,台灣大哥大無論知情與否,在這將近兩個月期間,都沒有公布自己產品是否遭駭,也沒有通知用戶處理或回收手機,後續也沒有說明是什麼原因現在才公布。這是否可能導致更多受害者在這段期間遇害,如能及早通知,或許可以讓更多用戶及早因應,而且,根據近期涉入遊戲點數詐騙案並是Amazing A32手機的用戶表示,他們之前到案說明時,由於不知道問題出在手機,因此當下也沒有特別說明自己是使用這款手機,而可能延誤了辦案,或讓偵辦方以為用戶不配合。

為此,我們曾詢問台灣大哥大何時掌握到事件相關情資,不過,他們僅表示,案情以1月6日公布的聲明稿為主,並基於遵守偵查不公開原則,所以不方便回應案情。

另外,在1月6日台灣大哥大的聲明中,指出將召回Amazing A32手機,協助進行安全性軟體升級,然而,這樣的產品資安事件應變方式並不周延,因為並沒有顧及已受害的民眾。不過,到了1月12日,台灣大哥大再次出面向用戶致歉,將提供相關用戶必要的法律協助。因此,對於資安事件影響範圍的完全掌控,也是普遍企業要重視的面向。只是,目前台灣大哥大並沒有針對受影響用戶提供相關因應方式,像是該手機用戶即便沒有捲入遊戲點數詐騙案,但是否應該聯絡遊戲公司確認自己可能被詐騙集團假冒身分註冊,也因為台灣大哥大沒有說明惡意程式的調查與功能,因此用戶在該手機上登入的所有雲端服務,是否都要更改密碼,這些面向都沒有說明。

簡訊OTP被攔截!
是詐騙集團冒用身分主因

在這次事件中,另一焦點是在簡訊OTP機制的安全議題。根據NCC指出,在產製過程被植入惡意程式的Amazing A32手機,由台灣大哥大冠名授權品牌來臺銷售,當國內民眾購買並使用手機後,攻擊者可竊取該手機所使用的門號資訊,並利用藉此向遊戲公司申請遊戲帳號。

對於植入惡意程式的攻擊者,與詐騙集團是否相同,我們並不清楚,不過,關於詐騙的詳細流程,NCC有清楚的說明,當遊戲公司傳送遊戲認證碼簡訊到該門號時,簡訊同時回傳給詐騙集團並在本機上自動刪除,因此,詐騙集團可以攔截到的遊戲認證碼簡訊,建立人頭遊戲帳號。而當詐騙集團騙取遊戲點數時,會透過國外IP位置將點數儲值至該人頭遊戲帳號內,進而導致不知情的Amazing A32手機用戶,變成詐騙集團的人頭。

因此,這起事件除了關注產製過程被植入惡意程式,同時也暴露了簡訊OTP被攔截的現況。由於簡訊OTP的安全議題,這幾年歐美都已在關注,包括2016年美國NIST發布的數位認證指導原則草案,以及2019年歐盟PSD2的規範,臺灣政府、企業也要持續關注這方面的議題。

 系列報導1  電信商手機在供應鏈被惡意軟體滲透,謎底揭曉是台灣大哥大,用戶簡訊OTP被攔截導致身分冒用

 系列報導2  Amazing A32手機用戶捲入遊戲點數詐騙案,淪為人頭帳戶,需跑全臺警局說明

熱門新聞

Advertisement