智慧型手機人手一支,為確保國內使用者的資訊安全及隱私保護,這個月初NCC通過了「智慧型手機系統內建軟體資通安全檢測技術規範」等草案,明確訂立手機系統軟體安全檢測規範,未來草案經過預告蒐集各方意見,明年6月可能就會施行。
智慧型手機的普及,逐漸成為駭客攻擊、竊取資料的目標,手機內系統軟體存在後門或漏洞,讓有心人士得以蒐集使用者個資,例如最近一家中國Android韌體業者被發現擅自透過後門蒐集使用者手機內的裝置及通訊內容,另一家同樣來自中國的韌體業者遭爆有漏洞,讓駭客得以取得根權限執行任意程式。
為推動手機資安防護,新通過的檢測規範以手機系統、硬體、預載軟體(不包含使用者自行下載安裝App)等層面,明定手機的安全防護及隱私保護檢測要求,NCC未來將委託第三方單位測試,由手機業者自主送測。
檢測規範將智慧型手機系統內建軟體的安全性分為三級,初級、中級、高級。初級以保護使用者的基本隱私為主,例如手機的安全性功能及個資保護,而中級則是進階的資料保護為主,必需提供完整的保護,涵蓋資料的使用、儲存及傳輸,高級則需確保手機的核心底層不被竄改或非法存取資訊。NCC要求送測的手機至少需達到初級。
NCC基礎設施事務處副處長徐國根表示,目前世界各國或組織對手機的安全規範並沒有強制手機業者執行測試,國內草案也採取業者自律的精神,由業者自行送測取得安全分級,站在鼓勵及資訊充份揭露的立場,NCC將公告通過檢測取得安全認證分級的業者送測產品,以供國內消費者採購時的參考。有別於手機業者自行送測,NCC希望行動電信商積極送測旗下銷售的綁約手機,而手機安全檢測規範未來也會供政府機關公務手機的採購規範。
有鑑於部份不肖App未經使用者同意即蒐集個資,Google在Android 6.0以上提供App存取資訊的權限控制功能,App存取麥克風、相機、聯絡人、定位等資訊必需獲得使用者同意,NCC呼籲注重隱私的民眾儘量使用Android 6.0以上版本手機。