9款智慧型手機資安抽測未過 小米機涉回傳政治敏感詞彙

2167
2167

CNEWS匯流新聞網記者李盛雯、謝東明/台北報導

國家通訊傳播委員會(NCC)分別於110年度上、下半年,針對未取得資安認證並經電信事業統計109年下半年銷售量較高的5款中國廠牌手機、110年上半年銷售量較高的10款不同廠牌智慧型手機,辦理手機系統內建軟體資通安全檢測作業。目前5款中國大陸廠牌手機經初測、複測及完成改善程序後全數通過檢測;另外,10款不同廠牌智慧型手機,初測計9款未通過,已函送初測報告請手機製造商改善,也已輔導廠商改善,以保障消費者權益。

NCC也表示,獲知立陶宛國防部網路安全中心於110年9月21日,揭露小米公司於歐洲販售的Mi 10T 5G手機內建軟體具有文字審查功能後,為保障國人使用手機的個資與隱私安全,即於去年10月委請電信技術中心(TTC)檢測在台銷售的小米同款手機,結果發現內建的7個應用軟體(App)包括個性主題、音樂、套裝軟體安裝程式、手機管家、垃圾清理、下載管理、小米視頻等軟體程式。

會從globalapi.ad.xiaomi.com伺服器下載針對「自由西藏」、「臺灣獨立」、「美國在臺協會」、「香港獨立媒體」、「六四事件」、「近平」、「胡錦濤」、「蔡英文」、「李登輝」、「巴哈姆特」、「PTT八卦版」、「自由時報」、「中國國民黨」、「民進黨」、「親民黨」等涉政治詞彙進行比對的檔案(MiAdBlacklistConfig),具有阻絕連網或將相關瀏覽行為回傳的疑慮。

比對檔案包含政府、宗教、政治團體、社會運動和政治人物姓名等簡體、繁體和英文詞彙,總計2000餘筆。原則上各國廠牌手機對使用者,涉隱私資訊有提供設定開啟或關閉功能的選擇,但該款小米手機並無提供消費者此項選擇功能。雖該伺服器上的詞彙過濾檔案目前已被清空,但製造商仍然可能由遠端隨時置放最新的過濾詞彙,並啟動檢查或過濾功能,恐有使用者隱私資訊回傳疑慮。

NCC提醒,中國人民、企業依中華人民共和國國家情報法第14條的規定,有支持、協助和配合國家情報工作的義務。因此,政治敏感詞彙檢查或過濾功能,將可能對使用者的個資或隱私造成隱憂。

NCC指出,立陶宛國防部發佈新聞當天即向台灣小米公司關切此事,當時台灣小米公司以電郵回覆,在台灣販賣的小米10T 5G手機與歐洲小米10T 5G(國際版)手機版本不同。小米10T 5G的台灣版手機並不會審查使用者的通訊內容,也不會限制或攔截手機用戶的任何個人行為(如搜尋、撥打電話、瀏覽網頁和使用第三方廠商通訊軟體)。

但經過檢測,NCC將持續依法調查台灣小米公司是否涉及損害消費者權益,或違反其他法令,如有涉及其他機關主管權責時,將請相關機關依法處理,以確保消費者之個資或隱私不受侵害。

NCC表示,委員會於108年起開始推動手機內建軟體資安抽測,並為督促製造商對手機版本更新亦能積極送測,去年提高抽測頻率,分別於110年度上、下半年針對未取得資安認證並經電信事業統計109年下半年銷售量較高5款中國大陸廠牌手機、110年上半年銷售量較高的10款不同廠牌智慧型手機,辦理手機系統內建軟體資通安全檢測作業。

NCC表示,檢測針對應用軟體及通訊協定應有的個資保護及加密機制,從TAICS公告的測試規範中跨級別挑選10個基本項目進行檢測,主要包括「內建軟體應將帳號、通行碼或金鑰儲存於作業系統保護區內或以加密方式儲存」、「內建軟體具備付費功能時,應使用多因子或強驗證進行用戶身分辨識」、「內建軟體應避免交談識別碼遭重送攻擊」、「與付費功能伺服器間傳輸,應使用安全之加密演算法」、「不可於執行期間將敏感性資料儲存於系統日誌檔案」、「存取敏感性資料前,應取得使用者同意」等項目。

NCC強調,通過檢測的各款手機,僅代表系統操作等內建軟體版本,在檢測當下符合測項要求;但考量目前資安事件層出不窮及駭客攻擊手法日新月異,通過檢測的手機,並不能保證未來手機的安全性,手機內建軟體如有更新版本,手機製造商應就更新部分重新檢測及驗證,才能維持通過的資安等級,如事後被發現系統內建軟體有資安漏洞或風險時,製造商仍應及時修補,並請民眾注意相關修補資訊。

NCC提醒,民眾最好保持良好使用手機習慣,切記「三不五要」,以加強保護個人資料與隱私安全。不瀏覽可疑網站,不連接可疑的Wi-Fi,不強行取得管理者權限。要定期更新密碼,要更新軟體程式及備份資料,要關閉未使用的Wi-Fi/藍牙/NFC等介面,連接的Wi-Fi要開啟加密防護,手機不再用時要刪除機敏資料。

照片來源:匯流新聞網資料照片、NCC提供

更多匯流新聞網報導:

路檢攔到毒品通緝犯 同車女身藏毒咖啡包也被逮

北土南倒牟暴利 深夜沿路傾倒廢棄土回填農地魚塭

【文章轉載請註明出處】