NCC 反駁小米:通過 NCC 型式認證,不代表手機的資安就沒問題

作者 | 發布日期 2018 年 03 月 30 日 9:00 | 分類 手機 , 資訊安全 follow us in feedly

近日媒體報導小米手機遭植入惡意軟體,台灣小米第一時間以其手機均取得 NCC 認證,回應媒體報導小米手機遭植入惡意軟體問題,NCC 嚴正表示,NCC 依《電信法》第 42 條第 1 項規定,針對手機之電信介面、電磁相容及電氣安全進行型式認證檢測,檢測範圍並不含手機內建軟體的資安檢測,NCC 已要求台灣小米不得以手機經 NCC 型式認證混稱手機內建軟體亦取得資安認證。



國家通訊傳播委員會(NCC)表示,依《電信法》第 42 條第 1 項規定,手機之電信介面、電磁相容及電氣安全依法應進行型式認證檢測;另,因資安議題日益受到各界關注,NCC 參考 ISO / IEC 15408 、OWASP 及 NIST 等國際資安規範或指引,於 106 年 3 月 3 日訂定發布「智慧型手機系統內建軟體資通安全檢測技術規範」,依內建軟體的資料層、應用程式層、通訊協定層、作業系統層及硬體層分別訂定檢測項目,鼓勵業者自主提供檢測,確保其符合目前國際規範建議的資通安全要求,並提供給消費者做為參考。

NCC 強調,型式認證檢測與智慧型手機內建軟體資安檢測,是兩項分別進行的檢測事項。兩者不得混為一談。

NCC 說明,現行手機使用的軟體,包含手機系統內建軟體及自行外加 App 兩類,手機系統內建軟體的資安檢測由 NCC 推動,另外加 App 軟體的資安檢測是由經濟部工業局推動。手機內建軟體是指出廠預載軟體、手機製造商授權銷售商得加載的軟體及無圖示軟體 3 種,目前台灣小米手機並未取得智慧型手機系統內建軟體資通安全檢測認證。

為確保手機出廠時的資通安全,NCC 呼籲所有手機廠商都應該自主辦理智慧型手機系統內建軟體資通安全檢測認證。NCC 同時強調,資通安全本質為風險控管及相對安全概念,即使智慧型手機系統內建軟體檢測結果符合「智慧型手機系統內建軟體資通安全檢測技術規範」,也僅限於手機廠商宣稱的內建軟體符合技術規範之檢測項目。

鑒於資安事件層出不窮及攻擊手法日新月異,內建軟體潛在漏洞亦可能後續才被發現,NCC 將定期檢討修正技術規範。已取得智慧型手機系統內建軟體不同資通安全等級資安檢測認證者,仍有該等級一定的資通安全保障。

NCC 進一步說明,雖然智慧型手機系統內建軟體資通安全檢測並非強制規定,但智慧型手機如有充分事證顯示其內建軟體有資安問題,並影響消費者權益時,NCC 將函請該手機製造商澄清說明,必要時請手機製造商提出具體改善措施,以保障國內消費者權益。

NCC 最後指出,台灣小米 27 日已正式聲明(略以):「……台灣小米澄清台灣小米代理進口小米手機之硬體規格均經國家通訊傳播委員會(NCC)認證,惟該硬體規格認證不包含 App 等軟體之資安認證,本公司未來將適時配合 NCC 辦理所代理進口小米手機之資安認證……」

(本文由 T客邦 授權轉載;首圖來源:Flickr/Maurizio Pesce CC BY 2.0)

關鍵字: , ,