低阶Android手机藏中国资安漏洞？NCC吁请民众升级软体

记者洪圣壹／台北报导

针对日前《纽约时报》所报导有关美国市售一些入门Android手机，所预装的应用程式，会将用户资料泄漏到中国地区；对此，稍早 NCC 回应，将研议智慧型手机系统内建软体资通安全检测机制未来推动方式，并函请行动通信业者提供用户绑约手机积极办理资安检测，并建议行政院协调行政院公共工程委员会研议修订政府采购规范。

▲日前外媒爆料，市售超过7亿支Android手机，都内藏资安漏洞，NCC除了提供新法案之外，也呼吁民众尽快升级手机软体。（图／示意照，记者洪圣壹摄）

日前《纽约时报》引述美国资安公司Kryptowire公告的资讯指出，他们从美国地区流通的部分 Android 手机当中发现壹些预载的应用程式，会监视用户去过哪些地方、与甚么人聊天，并且在每隔 72 小时，就会把用户的简讯送回中国。

经过调查发现，该应用程序是由中国上海广升信息技术公司（Adups）编写，并除了美国地区外，全球超过7亿支手机、汽车等智慧装置上都有采用这个应用程续。相关报导指出，这些手机主要都是近两三年市场上流通的中阶、入门 Android 手机，而且几乎各家品牌都有。

对此，稍早国家通讯传播委员会（NCC）公开回应，除了说明已于105年11月2日第721次委员会议审议通过「智慧型手机系统内建软体资通安全检测技术规范」等四项草案外，为持续加强推动手机资安防护，未来将促请业界强化自律规范，鼓励厂商配合自主送测，并将函请行动通信业者提供用户绑约手机积极办理资安检测，俾使出厂智慧型手机通过该技术规范相关检测，以降低智慧型手机出厂时之资安风险，强化使用者隐私保护。

另一方面，目前新版安卓6.0以上已纳入用户选择个别APP是否授权存取使用资讯之权限设定功能。NCC呼吁，现阶段民众手机如可升级至安卓6.0软体版本者，建议升级更新，以针对手机敏感资料(如位置、联络人、日历等)、周边设备(如相机、麦克风、电话、简讯等)及储存装置，设定个别APP授权存取权限，选择是否愿意提供使用资讯，俾强化自我隐私保护。

至于有关「智慧型手机系统内建软体资通安全检测技术规范」等四项草案，预计2017年第1季可提供业界及民众作为手机出厂时内建软体基本资安检测参考，不过若民众自行下载的APP资安自主检测机制，还是一样由经济部负责办理。

NCC表示，目前世界各国家、组织有关行动装置资安规范多属指引或风险评估，并未强制要求检测，不过，NCC研议智慧型手机系统内建软体资通安全检测机制未来推动方式，将参考各国管理方式，采行业界自主送测及自律规范，也鼓励基本资安自主检测推动制度，加速规划智慧型手机系统内建软体资通安全检测机制，借此强化智慧型手机基本资安防护，并于网路上公开通过技术规范资安检测手机之资安级别及相关资讯，以利民众查询。

另一方面，为促使业界重视手机资安，未来NCC将函请行动通信业者提供用户绑约手机积极办理资安检测，并建议行政院协调行政院公共工程委员会研议修订政府采购规范，要求政府机关采购公务手机均须通过前项技术规范之资安检测验证，以降低政府机关资通安全风险。该草案系以智慧型手机系统及其内建软体为检测对象，后续将办理对外预告，征询各方意见。