台灣大哥大手機自帶惡意程式
事發經過
台灣大哥大自 2018 年起所販售的 Amazing A32 是一款由中國製造,並交由台灣大哥大冠名銷售的手機。這款手機功能陽春,價格便宜,被台灣大哥大作為 0 元機,搭配門號或綁約的方式行銷。自開賣以來,共賣出 9 萬多支手機,根據台灣大哥大調查,目前仍在使用的有 7000 多支。
刑事局發現過往調查的詐騙案件裡,許多案件的共通特性,都是與 AMAZING A32 這款手機有關,經過調查發現這款手機在製造的過程中被植入惡意程式。
消費者在使用這款手機後,攻擊者可以利用手機門號向遊戲公司申請遊戲帳號,遊戲公司傳送簡訊驗證碼到手機上時,手機會自動將簡訊轉傳給攻擊者並自動刪除,將消費者的門號作為人頭帳號。攻擊者藉由這個方式詐騙遊戲點數,將點數儲值進人頭帳號內,讓消費者變成詐騙集團洗錢的人頭。
回應
台灣大哥大宣布全面召回更新軟體,民眾可至官網下載更新程式,或至直營門市(1 月 8 日後加盟門市也可辦理),由專人進行系統更新。
台灣大哥大官網所提供的相關資訊:Amazing A32 軟體升級公告
台灣大哥大表示,這次 Amazing A32 升級的軟體是採用 V2.0 版,經送請全國認證基金會(TAF)認證國家級資安測試實驗室「財團法人電信技術中心」(TTC)執行檢測,已確認符合台灣資通產業標準協會(TAICS)所公布的「智慧型手機系統內建軟體資安標準」及「智慧型手機系統內建軟體資安測試規範」資安檢測項目,已無資安疑慮。
NCC (國家通訊委員會) 表示即起也對大陸白牌手機進行二措施,包含行動業者自有品牌手機在中國製造者,必需符合資安標準才可販售,且申請手機硬體型式認證時,應提出符合台灣資通產業標準協會(TAICS)發布「智慧型手機系統內建軟體資安標準」佐證;另外大陸品牌手機、行動業者自有品牌陸製手機,也將納入年度抽測標的。
隱憂
這次的事件再次佐證使用第三方供應商所帶來的風險,對於公司來說,如果沒有適當的標準和檢測來審核合作的公司和廠商,就有可能發生類似的供應鏈攻擊。
NCC 認為,此次的事件凸顯了由中國製造、台灣品牌對外銷售的手機可能會有的資安風險,但我認為類似的問題不會只發生在大陸白牌手機上。中國品牌中國製造,外國品牌外國製造、甚至是國產的手機上,都有可能會有類似的資安問題,差別只是在於是怎麼樣的漏洞,以及攻擊者會拿這些漏洞來幹嘛而已。
這次的事件,攻擊者主要的目的為詐騙錢財,我認為已經算是影響輕微了,類似的攻擊手法是有可能被用來搜集用戶的個資、銀行帳戶資訊、國家機密等等的都有可能,尤其是發生在我們每天長時間使用的手機上,能搜集到的資訊太多了。
現在台灣雖然有些相關的認證,像是前面提到的智慧型手機系統內建軟體資安標準、物聯網資安認驗證,但這些檢測皆不是強制性(除了最新公布針對中國白牌的手機以外)
NCC 表示:為避免技術性貿易障礙,所以我國智慧型手機資安檢測及認證機制並非強制,而是由申請者自主送測。
因此,市面上多數產品都沒有通過相關檢測,這些手機、裝置在資安上有哪些問題我們都不知道。
我認為許多科技產品,尤其是像智慧型手機、路由器這些大家每天都在使用,且會經手重要資訊的產品,應該要有更強制更嚴格的標準和認證機制,即使不禁止有資安問題產品的販售,起碼也要在每個產品上標示資安等級,讓消費者在選購產品時有更明確的參考依據。
新聞來源
蘋果即時 - 【資安漏洞】驚!台灣大 9 萬多支手機遭植惡意程式 用戶被當詐騙集團人頭