1.媒体来源:
iThome
2.完整新闻标题/内文:
消保处点名三星、HTC、Sony三款手机具资安风险:资料以明码储存、权限控管宽松
行政院消费者保护处(简称消保处)公布三星(Samsung)、HTC、Sony三款智慧型手机资
安风险检测结果,发现三款手机存在资料外泄风险,包括以明码储存、应用程式权限控管
宽松等问题,目前业者已改善完毕。基于手机逐渐成为国人生活中仰赖的重要资讯装置,
政府也研拟未来对手机订定资安检测规范。
消保处是在去年10月委托资安科技研究所,抽检市占率最大的Android手机前三大厂牌
Samsung、HTC、Sony三款当时的旗舰手机 HTC New One(M7)、Samsung Galaxy Note 3
、Sony Xperia Z。由于国内缺乏检测标准,资策会依照国际知名资安组织“OWASP Top
10 Mobile Risks”与“SANS: CWE/SANS TOP 25 Most Dangerous Software Errors”标
准作测试。
经过检测发现三款手机共有13项资安风险,8项与不安全加密有关,4项为权限控管,1项
为安全连网。其中HTC共有4项风险,Samsung有3项,Sony则有6项,详细风险可参考文件
。
以HTC New One为例,手机笔记程式内容以明码方式储存,若使用者纪录重要资料,可能
有资料外泄的风险。另外,Wi-Fi热点及导航应用程式密码以明码储存、传输也可能被窃
取。
Samsung Galaxy Note 3也有笔记程式资料以明码储存的问题,但还有应用程式网络加密
连线制缺乏验证,可能连线到钓鱼网站受到攻击。Sony Xperia Z也有笔记程式以明码储
存内容,程式密码及使用者资料以明码储存传输容易被窃取、下拉式讯息列包含部份或完
整的资料(个资或即时通讯内容)、车用模式权限控管不当等。
行政院消保处消保官王德明表示,由于行动装置普及,若透过手机进行交易,资安风险可
能影响到消费者权益,因此消保处委托资策会进行检测,这是国内首次对手机软件安全进
行资安检测。检测结果已向手机厂商反映,三家业者已陆续在今年6月底针对缺失修补。
另外政府也计划订定手机资安规范,行政院国家资通安全会报先前已决定有关电信设备(
手机)内软件由NCC主管,手机与PC的应用程式、App资安规范由经济部主管。两个主管机
关未来将订定软件资安检测标准、测试认证、自主验证等相关管理办法。
3.新闻连结:
http://www.ithome.com.tw/news/89219
4.备注: