2014年7月10日 星期四

消保處點名三星、HTC、Sony三款手機具資安風險:資料以明碼儲存、權限控管寬鬆

消保處點名三星、HTC、Sony三款手機具資安風險:資料以明碼儲存、權限控管寬鬆

行政院消保處委託資策會資安所依國際資安研究單位標準檢測 HTC New One、Samsung Galaxy Note3 及 Sony Xperia Z 三款手機,發現存在13項可能的潛在資安風險,較多的風險為手機以明碼儲存資料,權限控管不夠嚴謹。


行政院消費者保護處(簡稱消保處)公佈三星(Samsung)、HTC、Sony三款智慧型手機資安風險檢測結果,發現三款手機存在資料外洩風險,包括以明碼儲存、應用程式權限控管寬鬆等問題,目前業者已改善完畢。基於手機逐漸成為國人生活中仰賴的重要資訊裝置,政府也研擬未來對手機訂定資安檢測規範。

消保處是在去年10月委託資安科技研究所,抽檢市佔率最大的Android手機前三大廠牌Samsung、HTC、Sony三款當時的旗艦手機 HTC New One(M7)、Samsung Galaxy Note 3、Sony Xperia Z。由於國內缺乏檢測標準,資策會依照國際知名資安組織「OWASP Top 10 Mobile Risks」與「SANS: CWE/SANS TOP 25 Most Dangerous Software Errors」標準作測試。

經過檢測發現三款手機共有13項資安風險,8項與不安全加密有關,4項為權限控管,1項為安全連網。其中HTC共有4項風險,Samsung有3項,Sony則有6項,詳細風險可參考文件。

以HTC New One為例,手機筆記程式內容以明碼方式儲存,若使用者紀錄重要資料,可能有資料外洩的風險。另外,Wi-Fi熱點及導航應用程式密碼以明碼儲存、傳輸也可能被竊取。

Samsung Galaxy Note 3也有筆記程式資料以明碼儲存的問題,但還有應用程式網路加密連線制缺乏驗證,可能連線到釣魚網站受到攻擊。Sony Xperia Z也有筆記程式以明碼儲存內容,程式密碼及使用者資料以明碼儲存傳輸容易被竊取、下拉式訊息列包含部份或完整的資料(個資或即時通訊內容)、車用模式權限控管不當等。

行政院消保處消保官王德明表示,由於行動裝置普及,若透過手機進行交易,資安風險可能影響到消費者權益,因此消保處委託資策會進行檢測,這是國內首次對手機軟體安全進行資安檢測。檢測結果已向手機廠商反映,三家業者已陸續在今年6月底針對缺失修補。

另外政府也計劃訂定手機資安規範,行政院國家資通安全會報先前已決定有關電信設備(手機)內軟體由NCC主管,手機與PC的應用程式、App資安規範由經濟部主管。兩個主管機關未來將訂定軟體資安檢測標準、測試認證、自主驗證等相關管理辦法。

轉載自《iThome》