低階Android手機藏中國資安漏洞？NCC籲請民衆升級軟體

記者洪聖壹／臺北報導

針對日前《紐約時報》所報導有關美國市售一些入門Android手機，所預裝的應用程式，會將用戶資料泄漏到中國地區；對此，稍早 NCC 迴應，將研議智慧型手機系統內建軟體資通安全檢測機制未來推動方式，並函請行動通信業者提供用戶綁約手機積極辦理資安檢測，並建議行政院協調行政院公共工程委員會研議修訂政府採購規範。

▲日前外媒爆料，市售超過7億支Android手機，都內藏資安漏洞，NCC除了提供新法案之外，也呼籲民衆儘快升級手機軟體。（圖／示意照，記者洪聖壹攝）

日前《紐約時報》引述美國資安公司Kryptowire公告的資訊指出，他們從美國地區流通的部分 Android 手機當中發現壹些預載的應用程式，會監視用戶去過哪些地方、與甚麼人聊天，並且在每隔 72 小時，就會把用戶的簡訊送回中國。

經過調查發現，該應用程序是由中國上海廣升信息技術公司（Adups）編寫，併除了美國地區外，全球超過7億支手機、汽車等智慧裝置上都有采用這個應用程續。相關報導指出，這些手機主要都是近兩三年市場上流通的中階、入門 Android 手機，而且幾乎各家品牌都有。

對此，稍早國家通訊傳播委員會（NCC）公開回應，除了說明已於105年11月2日第721次委員會議審議通過「智慧型手機系統內建軟體資通安全檢測技術規範」等四項草案外，爲持續加強推動手機資安防護，未來將促請業界強化自律規範，鼓勵廠商配合自主送測，並將函請行動通信業者提供用戶綁約手機積極辦理資安檢測，俾使出廠智慧型手機通過該技術規範相關檢測，以降低智慧型手機出廠時之資安風險，強化使用者隱私保護。

另一方面，目前新版安卓6.0以上已納入用戶選擇個別APP是否授權存取使用資訊之權限設定功能。NCC呼籲，現階段民衆手機如可升級至安卓6.0軟體版本者，建議升級更新，以針對手機敏感資料(如位置、聯絡人、日曆等)、周邊設備(如相機、麥克風、電話、簡訊等)及儲存裝置，設定個別APP授權存取權限，選擇是否願意提供使用資訊，俾強化自我隱私保護。

至於有關「智慧型手機系統內建軟體資通安全檢測技術規範」等四項草案，預計2017年第1季可提供業界及民衆作爲手機出廠時內建軟體基本資安檢測參考，不過若民衆自行下載的APP資安自主檢測機制，還是一樣由經濟部負責辦理。

NCC表示，目前世界各國家、組織有關行動裝置資安規範多屬指引或風險評估，並未強制要求檢測，不過，NCC研議智慧型手機系統內建軟體資通安全檢測機制未來推動方式，將參考各國管理方式，採行業界自主送測及自律規範，也鼓勵基本資安自主檢測推動制度，加速規劃智慧型手機系統內建軟體資通安全檢測機制，藉此強化智慧型手機基本資安防護，並於網路上公開通過技術規範資安檢測手機之資安級別及相關資訊，以利民衆查詢。

另一方面，爲促使業界重視手機資安，未來NCC將函請行動通信業者提供用戶綁約手機積極辦理資安檢測，並建議行政院協調行政院公共工程委員會研議修訂政府採購規範，要求政府機關採購公務手機均須通過前項技術規範之資安檢測驗證，以降低政府機關資通安全風險。該草案系以智慧型手機系統及其內建軟體爲檢測對象，後續將辦理對外預告，徵詢各方意見。