國家通訊傳播委員會(NCC)今表示,依電信法第42條第1項規定,手機之電信介面、電磁相容及電氣安全依法應進行型式認證檢測;另,因資安議題日益受到各界關注, NCC前參考ISO/IEC 15408 、OWASP及NIST等國際資安規範或指引,於106年3月3日訂定發布「智慧型手機系統內建軟體資通安全檢測技術規範」,依內建軟體之資料層、應用程式層、通訊協定層、作業系統層及硬體層分別訂定檢測項目,鼓勵業者自主提供檢測、確保其符合目前國際規範建議之資通安全要求、並提供給消費者作為參考。亦即,型式認證檢測與智慧型手機內建軟體資安檢測是兩項分別進行的檢測事項。
有關近日媒體報導小米手機遭植入惡意軟體,台灣小米第一時間以其手機均取得NCC認證,回應媒體報導小米手機遭植入惡意軟體問題一節, NCC嚴正表示,NCC依電信法第42條第1項規定,針對手機之電信介面、電磁相容及電氣安全進行型式認證檢測,檢測範圍並不含手機內建軟體之資安檢測,NCC已要求台灣小米不得以手機經NCC型式認證混稱手機內建軟體亦取得資安認證。
NCC說明,現行手機使用之軟體,包含手機系統內建軟體及自行外加APP二類,手機系統內建軟體之資安檢測由NCC推動,另外加APP軟體之資安檢測係由經濟部工業局推動。手機內建軟體係指出廠預載軟體、手機製造商授權銷售商得加載之軟體及無圖示軟體三種,目前台灣小米手機並未取得智慧型手機系統內建軟體資通安全檢測認證。
為配合手機價格差異及使用者不同的資通安全需求,已將智慧型手機系統內建軟體資通安全等級區分為初級、中級及高級三種。初級著重於隱私保護、中級再進一步要求資料保護機制,高級更進一步要求核心底層不被竄改或被不正當的擷取資訊。該技術規範詳如NCC網址。
為確保手機出廠時之資通安全,NCC呼籲所有手機廠商自主辦理智慧型手機系統內建軟體資通安全檢測認證。NCC同時強調,資通安全本質為風險控管及相對安全概念,即使智慧型手機系統內建軟體檢測結果符合「智慧型手機系統內建軟體資通安全檢測技術規範」,也僅限於手機廠商宣稱之內建軟體符合技術規範之檢測項目。鑒於資安事件層出不窮及攻擊手法日新月異,內建軟體潛在漏洞亦可能後續才被發現,爰NCC將定期檢討修正技術規範。已取得智慧型手機系統內建軟體不同資通安全等級資安檢測認證者,仍有該等級一定之資通安全保障。
NCC進一步說明,雖然智慧型手機系統內建軟體資通安全檢測並非強制規定,但智慧型手機如有充分事證顯示其內建軟體有資安問題並影響消費者權益時,NCC將函請該手機製造商澄清說明,必要時請手機製造商提出具體改善措施,以保障國內消費者權益。
NCC最後指出,台灣小米昨(3/27)日已正式聲明(略以):「…台灣小米澄清台灣小米代理進口小米手機之硬體規格均經國家通訊傳播委員會(NCC)認證,惟該硬體規格認證不包含APP等軟體之資安認證,本公司未來將適時配合NCC辦理所代理進口小米手機之資安認證…」。
日期:107-03-28 資料來源:國家通訊傳播委員會