1.媒體來源:
iThome
2.完整新聞標題/內文:
消保處點名三星、HTC、Sony三款手機具資安風險:資料以明碼儲存、權限控管寬鬆
行政院消費者保護處(簡稱消保處)公佈三星(Samsung)、HTC、Sony三款智慧型手機資
安風險檢測結果,發現三款手機存在資料外洩風險,包括以明碼儲存、應用程式權限控管
寬鬆等問題,目前業者已改善完畢。基於手機逐漸成為國人生活中仰賴的重要資訊裝置,
政府也研擬未來對手機訂定資安檢測規範。
消保處是在去年10月委託資安科技研究所,抽檢市佔率最大的Android手機前三大廠牌
Samsung、HTC、Sony三款當時的旗艦手機 HTC New One(M7)、Samsung Galaxy Note 3
、Sony Xperia Z。由於國內缺乏檢測標準,資策會依照國際知名資安組織「OWASP Top
10 Mobile Risks」與「SANS: CWE/SANS TOP 25 Most Dangerous Software Errors」標
準作測試。
經過檢測發現三款手機共有13項資安風險,8項與不安全加密有關,4項為權限控管,1項
為安全連網。其中HTC共有4項風險,Samsung有3項,Sony則有6項,詳細風險可參考文件
。
以HTC New One為例,手機筆記程式內容以明碼方式儲存,若使用者紀錄重要資料,可能
有資料外洩的風險。另外,Wi-Fi熱點及導航應用程式密碼以明碼儲存、傳輸也可能被竊
取。
Samsung Galaxy Note 3也有筆記程式資料以明碼儲存的問題,但還有應用程式網路加密
連線制缺乏驗證,可能連線到釣魚網站受到攻擊。Sony Xperia Z也有筆記程式以明碼儲
存內容,程式密碼及使用者資料以明碼儲存傳輸容易被竊取、下拉式訊息列包含部份或完
整的資料(個資或即時通訊內容)、車用模式權限控管不當等。
行政院消保處消保官王德明表示,由於行動裝置普及,若透過手機進行交易,資安風險可
能影響到消費者權益,因此消保處委託資策會進行檢測,這是國內首次對手機軟體安全進
行資安檢測。檢測結果已向手機廠商反映,三家業者已陸續在今年6月底針對缺失修補。
另外政府也計劃訂定手機資安規範,行政院國家資通安全會報先前已決定有關電信設備(
手機)內軟體由NCC主管,手機與PC的應用程式、App資安規範由經濟部主管。兩個主管機
關未來將訂定軟體資安檢測標準、測試認證、自主驗證等相關管理辦法。
3.新聞連結:
http://www.ithome.com.tw/news/89219
4.備註: