NCC公布15款市售手機內建軟體資安檢測結果，台灣大哥大Amazing A32未通過

為帶動國內手機業者、消費者對手機內建軟體資訊安全的重視，NCC周三公布109年手機內建軟體資安抽測結果，此次共抽測市售15款手機，今年初因手機在生產階段就被植入惡意程式，導致用戶淪為遊戲點數詐騙人頭帳號的台灣大哥大Amazing A32，為唯一一款未通過檢測的手機。

這次抽測是以2020年下半年到今年第1、2季，銷售量較高且未取得資安認證的10款手機，以及3款業者自有品牌、2款中國品牌手機，進行手機內建軟體的資通安全檢測，測試的手機包括蘋果iPhone 11、紅米Redmi NOTE 8T、華碩Zenfone Max、HTC Desire 19S、三星Galaxy A20、Sony Xperia 5、Oppo A9 2020、Realme XT、台灣大哥大A32、A55及A57等15款手機。

NCC從台灣資通產業標準協會(TAICS)提出的「智慧型手機內建軟體資安測試規範」挑選10個項目進行基本檢測，包含「內建軟體應將帳號、通行碼或金鑰儲存於作業系統保護區內或以加密方式儲存」、「內建軟體應避免交談識別碼遭重送攻擊」、「與付費功能伺服器間傳輸，應使用安全之加密演算法」、「不可於執行期間將敏感性資料儲存於系統日誌檔案」、「存取敏感性資料前，應取得使用者同意」等檢測項目。這項測試並非強制性，而由NCC主動抽測熱門、中國品牌及電信商自有品牌手機，目的在提高消費者、廠商對手機資訊安全的重視。

經過測試，除了蘋果iPhone 11在今年1月的初次測試即通過之外，其他的13款手機通知手機廠商改進之後，也通過今年4月的複測，至於台灣大哥大Amazing A32並未通過，原因為該款手機Android版本過舊，Google已不再修正授權軟體，故無法通過此次檢測。

Amazing系列為台灣大哥大引進的中國白牌手機，以高性價比吸引不少用戶，今年初Amazing A32爆發嚴重的資安事件，刑事局去年就接獲民眾檢舉，經過偵查後發現，手機疑似在生產階段被植入惡意程式，詐騙集團利用該手機門號向遊戲公司申請帳號，並攔截傳到該手機的認證碼簡訊，完成遊戲帳號申請，之後這些帳號成為詐騙集團騙取遊戲點數的人頭帳號，不少用戶在不知不覺中淪為詐騙的人頭帳戶，收到地檢署通知要求協助說明，造成用戶困擾。

NCC要求台灣大哥大和協力廠商儘速改善補救，同時也強化對中國白牌手機的資安要求，包括行動電信業者銷售中國製造的自有品牌手機，除了手機硬體的型式認證之外，也需通過TAICS發布的智慧型手機系統內建軟體資安標準才能販售。此外，中國品牌及行動電信業者的中國製自有品牌手機納入年度的手機資安檢測。

台灣大哥大今年1月對外的公開說明，Amazing A32已在去年7月自通路下架，該公司也和台灣合作廠商開發新版作業系統改進問題，並澄清其他的Amazing手機並沒有相關問題。

根據中華民國資訊安全學會公布的手機系統內建軟體資通安全檢測(Embedded Software Security, ESS)檢測通過名單，從民國106年至今，國內共有19款手機在廠商主動送測下，獲得ESS檢測，其中Amazing A32可能在改進後，今年1月14日取得ESS資通安全等級的1級(編按：ESS資通安全等級原分為初、中、高級，後改為1、2、3級)，代表已具備基本的隱私保護。