為帶動智慧型手機製造商重視內建軟體資通安全,促使製造商積極送測取得手機資安標章,讓消費者放心,NCC 於 109 年下半年至 110 年第 1 季針對電信事業 109 年第 1、2 季銷售量較高且未取得資安認證之 10 款不同廠牌智慧型手機,以及 3 款業者自有廠牌與 2 款其他中國大陸廠牌手機,進行手機系統內建軟體之資通安全檢測。經完成初測、複測及改善程序後,有 14 款手機通過檢測。
NCC 表示,經考量台灣資通產業標準協會(TAICS)於 109 年 7 月公告之「智慧型手機系統內建軟體資安測試規範」,本次檢測係針對應用軟體及通訊協定應有之個資保護及加密機制,從 TAICS 公告之測試規範中跨級別挑選 10 個基本項目進行檢測,主要包括「內建軟體應將帳號、通行碼或金鑰儲存於作業系統保護區內或以加密方式儲存」、「內建軟體應避免交談識別碼遭重送攻擊」、「與付費功能伺服器間傳輸,應使用安全之加密演算法」、「不可於執行期間將敏感性資料儲存於系統日誌檔案」、「存取敏感性資料前,應取得使用者同意」等項目。
而在經過檢測後,共有 14 款手機通過測試。初測(110年1月)即通過的手機是蘋果 iPhone 11;其餘初測未通過,經手機製造商積極配合改善後複測通過(110年4月)的包含 SONY XPERIA 5、三星 GALAXY A20、HTC DESIRE 19S、ASUS ZENFONE MAX M2、台灣大哥大 A55 及 A57、SUGAR C13、紅米REDMI NOTE 8T、華為 Y9 PRIME 2019、OPPO A9 2020、Koobee S16、REALME XT、VIVO Y12等 13 款。
NCC 指出,本次檢測係並非強制性規定,目的是為提升消費者資安意識,帶動智慧型手機製造商重視手機內建軟體之資通安全,並藉由公布檢測項目全數通過測試之手機廠牌型號,以資鼓勵。至於未通過之手機型號,因考量其內建軟體尚有漏洞,則不予公布並已請相關業者持續完善應處,避免發生資安事件。
NCC 強調,前述通過檢測之各款手機,代表其系統操作等內建軟體版本在檢測當下符合測項要求。惟考量目前資安事件層出不窮及駭客攻擊手法日新月異,通過檢測的手機,並不能保證未來手機之安全性,手機內建軟體如有更新版本,手機製造商應就更新部分重新檢測及驗證,始能維持其通過之資安等級,如事後被發現其系統內建軟體有資安漏洞或風險時,製造商仍應及時修補。