消保處公布智慧型手機資安檢測結果

為維護消費者權益，行政院消費者保護處（下稱行政院消保處）針對 HTC New One、Samsung Note 3、Sony Xperia Z 等三款暢銷智慧型手機進行資安測試，測試結果發現 HTC New One 具有 4 項資安缺失 (2 項高風險，2 項低風險)、Samsung GALAXY Note 3 具有 3 項資安缺失 (1 項高風險，2 項低風險)、Sony Xperia Z 具有 6 項資安缺失 (2 項高風險，4 項低風險)，經行政院消保處通知業者已請業者全數改善完畢。

在現今人手一機的時代，您了解智慧型手機內內建智慧型軟體的隱私是否會遭有心人士窺探嗎？行政院消保處為了解智慧型手機內建搭載軟體之安全性，市購 HTC New One、Samsung Note 3、Sony Xperia Z 等三款智慧型旗艦手機，並委託國內唯一具專業資安測試能力的財團法人資訊工業策進會資安科技研究所進行檢測，檢測標準則參照國際知名資安組織所發布常見的行動裝置十大資安漏洞 (「OWASP Top 10 Mobile Risks」) 之測試內容為主，檢測標準則參照國際知名資安組織「OWASP Top 10 Mobile Risks」與「SANS: CWE/SANS TOP 25 Most Dangerous Software Errors」之測試內容為主，測試結果發現該 3 款手機具有如下資安疑慮缺失

(一) HTC New One：

1. 手機上之筆記應用程式資料缺乏更嚴謹的保護措施，造成機敏資料有外洩之虞。高風險部分：使用者筆記內容以明文儲存且讀取權限設置不當，造成機敏資料有外洩之虞。
2. 「Wi-Fi 熱點」與導航應用程式密碼以明文方式儲存與傳輸，可能遭到竊取，用以上網。低風險部分：導航應用程式 Ndrive 註冊時，使用者帳號密碼以明文方式傳輸及應用程式「Wi-Fi 熱點」密碼以明文方式儲存。

（二）Samsung GALAXY Note 3：

1. 手機上之筆記應用程式資料缺乏更嚴謹的保護措施，造成資料有外洩之虞。高風險部分：使用者筆記內容以明文儲存且讀取權限設置不當，造成機敏資料有外洩之虞。
2. 應用程式網路加密連線機制缺乏更嚴謹的驗證機制，可能導致使用者連線至惡意網站而遭到攻擊。低風險部分：應用程式以 SSL 加密連線至網站時，未驗證憑證是否簽發給連線網站，可能使應用程式因故被導向至釣魚網站時。

(三) Sony Xperia Z：

1. 手機上之筆記應用程式資料缺乏更嚴謹的保護措施，造成資料有外洩之虞。高風險部分：使用者筆記內容以明文儲存且讀取權限設置不當，造成機敏資料有外洩之虞。
2. 應用程式密碼與使用者資料以明文方式儲存與傳輸，可能遭到竊取，造成資訊有洩漏之虞。低風險部分：應用程式於登入使用者帳號時，將使用者帳號密碼以明文傳輸及車用模式開啟時，下拉式訊息列可能包含部分或完整機敏資訊 (如即時通訊息內容、個資等)，造成機敏資訊洩漏有洩漏之虞。
3. 車用模式應用程式畫面操作權限處理不當，未發揮原有的操作限制功能，可能造成資料的洩漏。

上述資安缺失，經行政院消保處與業者多次溝通協調，已由業者改善完成並釋出更新軟體供消費者下載。

有鑒於智慧型手機資安上之風險已成為新興消費者保護課題，行政院消費者保護會第 24 次會議中經主席裁示請行政院國家資通安全會報協調指定主管機關，規劃研議制訂智慧型手機資安規範或國家標準之可行性與軟體資安之後市場監督機制。

本案經國家安全資通會報於第 26 次會議決議有關電信終端設備 (如手機) 內建軟體由國家通訊傳播委員會主管；手機與電腦之應用軟體基本資安規範則由經濟部主管。故未來將由該主管機關儘速規劃制訂軟體資安檢測標準、辦理相關認證與、鼓勵廠商自主驗證與與相關法令與及管理措施之研議與推動，以保障消費者權益。

水杉而 於 2015-05-25 09:07:15 修改文章內容