記者洪聖壹/台北報導
針對日前《紐約時報》所報導有關美國市售一些入門Android手機,所預裝的應用程式,會將用戶資料洩漏到中國地區;對此,稍早 NCC 回應,將研議智慧型手機系統內建軟體資通安全檢測機制未來推動方式,並函請行動通信業者提供用戶綁約手機積極辦理資安檢測,並建議行政院協調行政院公共工程委員會研議修訂政府採購規範。
▲日前外媒爆料,市售超過7億支Android手機,都內藏資安漏洞,NCC除了提供新法案之外,也呼籲民眾盡快升級手機軟體。(圖/示意照,記者洪聖壹攝)
日前《紐約時報》引述美國資安公司Kryptowire公告的資訊指出,他們從美國地區流通的部分 Android 手機當中發現壹些預載的應用程式,會監視用戶去過哪些地方、與甚麼人聊天,並且在每隔 72 小時,就會把用戶的簡訊送回中國。
經過調查發現,該應用程序是由中國上海廣升信息技術公司(Adups)編寫,並除了美國地區外,全球超過7億支手機、汽車等智慧裝置上都有採用這個應用程續。相關報導指出,這些手機主要都是近兩三年市場上流通的中階、入門 Android 手機,而且幾乎各家品牌都有。
對此,稍早國家通訊傳播委員會(NCC)公開回應,除了說明已於105年11月2日第721次委員會議審議通過「智慧型手機系統內建軟體資通安全檢測技術規範」等四項草案外,為持續加強推動手機資安防護,未來將促請業界強化自律規範,鼓勵廠商配合自主送測,並將函請行動通信業者提供用戶綁約手機積極辦理資安檢測,俾使出廠智慧型手機通過該技術規範相關檢測,以降低智慧型手機出廠時之資安風險,強化使用者隱私保護。
另一方面,目前新版安卓6.0以上已納入用戶選擇個別APP是否授權存取使用資訊之權限設定功能。NCC呼籲,現階段民眾手機如可升級至安卓6.0軟體版本者,建議升級更新,以針對手機敏感資料(如位置、聯絡人、日曆等)、週邊設備(如相機、麥克風、電話、簡訊等)及儲存裝置,設定個別APP授權存取權限,選擇是否願意提供使用資訊,俾強化自我隱私保護。
至於有關「智慧型手機系統內建軟體資通安全檢測技術規範」等四項草案,預計2017年第1季可提供業界及民眾作為手機出廠時內建軟體基本資安檢測參考,不過若民眾自行下載的APP資安自主檢測機制,還是一樣由經濟部負責辦理。
NCC表示,目前世界各國家、組織有關行動裝置資安規範多屬指引或風險評估,並未強制要求檢測,不過,NCC研議智慧型手機系統內建軟體資通安全檢測機制未來推動方式,將參考各國管理方式,採行業界自主送測及自律規範,也鼓勵基本資安自主檢測推動制度,加速規劃智慧型手機系統內建軟體資通安全檢測機制,藉此強化智慧型手機基本資安防護,並於網路上公開通過技術規範資安檢測手機之資安級別及相關資訊,以利民眾查詢。
另一方面,為促使業界重視手機資安,未來NCC將函請行動通信業者提供用戶綁約手機積極辦理資安檢測,並建議行政院協調行政院公共工程委員會研議修訂政府採購規範,要求政府機關採購公務手機均須通過前項技術規範之資安檢測驗證,以降低政府機關資通安全風險。該草案係以智慧型手機系統及其內建軟體為檢測對象,後續將辦理對外預告,徵詢各方意見。
讀者迴響