文章列表

台灣大哥大手機自帶惡意程式

twmobile cover copy

事發經過

台灣大哥大自2018年起所販售的Amazing A32是一款由中國製造,並交由台灣大哥大冠名銷售的手機。這款手機功能陽春,價格便宜,被台灣大哥大作為0元機,搭配門號或綁約的方式行銷。自開賣以來,共賣出9萬多支手機,根據台灣大哥大調查,目前仍在使用的有7000多支。

刑事局發現過往調查的詐騙案件裡,許多案件的共通特性,都是與AMAZING A32這款手機有關,經過調查發現這款手機在製造的過程中被植入惡意程式。

消費者在使用這款手機後,攻擊者可以利用手機門號向遊戲公司申請遊戲帳號,遊戲公司傳送簡訊驗證碼到手機上時,手機會自動將簡訊轉傳給攻擊者並自動刪除,將消費者的門號作為人頭帳號。攻擊者藉由這個方式詐騙遊戲點數,將點數儲值進人頭帳號內,讓消費者變成詐騙集團洗錢的人頭。

回應

台灣大哥大宣布全面召回更新軟體,民眾可至官網下載更新程式,或至直營門市(1月8日後加盟門市也可辦理),由專人進行系統更新。

台灣大哥大官網所提供的相關資訊:Amazing A32軟體升級公告

台灣大哥大表示,這次Amazing A32升級的軟體是採用 V2.0版,經送請全國認證基金會(TAF)認證國家級資安測試實驗室「財團法人電信技術中心」(TTC)執行檢測,已確認符合台灣資通產業標準協會(TAICS)所公布的「智慧型手機系統內建軟體資安標準」及「智慧型手機系統內建軟體資安測試規範」資安檢測項目,已無資安疑慮。

NCC (國家通訊委員會) 表示即起也對大陸白牌手機進行二措施,包含行動業者自有品牌手機在中國製造者,必需符合資安標準才可販售,且申請手機硬體型式認證時,應提出符合台灣資通產業標準協會(TAICS)發布「智慧型手機系統內建軟體資安標準」佐證;另外大陸品牌手機、行動業者自有品牌陸製手機,也將納入年度抽測標的。

隱憂

這次的事件再次佐證使用第三方供應商所帶來的風險,對於公司來說,如果沒有適當的標準和檢測來審核合作的公司和廠商,就有可能發生類似的供應鏈攻擊。

NCC認為,此次的事件凸顯了由中國製造、台灣品牌對外銷售的手機可能會有的資安風險,但我認為類似的問題不會只發生在大陸白牌手機上。中國品牌中國製造,外國品牌外國製造、甚至是國產的手機上,都有可能會有類似的資安問題,差別只是在於是怎麼樣的漏洞,以及攻擊者會拿這些漏洞來幹嘛而已。

這次的事件,攻擊者主要的目的為詐騙錢財,我認為已經算是影響輕微了,類似的攻擊手法是有可能被用來搜集用戶的個資、銀行帳戶資訊、國家機密等等的都有可能,尤其是發生在我們每天長時間使用的手機上,能搜集到的資訊太多了。

現在台灣雖然有些相關的認證,像是前面提到的智慧型手機系統內建軟體資安標準物聯網資安認驗證,但這些檢測皆不是強制性(除了最新公布針對中國白牌的手機以外)

NCC表示:為避免技術性貿易障礙,所以我國智慧型手機資安檢測及認證機制並非強制,而是由申請者自主送測。

因此,市面上多數產品都沒有通過相關檢測,這些手機、裝置在資安上有哪些問題我們都不知道。

我認為許多科技產品,尤其是像智慧型手機、路由器這些大家每天都在使用,且會經手重要資訊的產品,應該要有更強制更嚴格的標準和認證機制,即使不禁止有資安問題產品的販售,起碼也要在每個產品上標示資安等級,讓消費者在選購產品時有更明確的參考依據。

新聞來源

台灣大哥大 - Amazing A32軟體升級公告

蘋果即時 - 【資安漏洞】驚!台灣大9萬多支手機遭植惡意程式 用戶被當詐騙集團人頭

風傳媒 - 台灣大9萬多支中國製手機藏惡意程式 NCC翁柏宗罕見道歉要求召

手機王 - 台灣大手機被植惡意程式 Amazing A32將全面召回軟體升級