手機資安
」歐洲議會選舉前夕遭「間諜軟體」入侵! SEDE全體成員手機送檢
歐洲議會安全與防衛次級委員會(European Parliament's security and defense subcommittee,SEDE)的所有成員,今天被議會資訊部門要求檢查手機資安,因為當地時間21日有2名議員及1名工作人員的手機成為了間諜軟體的目標,這敲響了歐盟相關機構的警鐘。據政治新聞雜誌《政客》(Politico)的報導,法國歐洲議會自由派議員、SEDE主席盧瓦索(Nathalie Loiseau)向《政客》證實,她成為了以色列公司NSO集團開發的間諜軟體「飛馬」(Pegasus)的目標。據悉,盧瓦索的手機並非首次進行檢測,但這是第1次偵測到被成功入侵,此後她也更換了手機。SEDE主席盧瓦索 (Nathalie Loiseau)。(圖/達志/美聯社)SEDE成員、保加利亞社會民主黨議員永切娃(Elena Yoncheva)則表示,她的手機在本週的IT安全檢查中被驗出有間諜軟體入侵的痕跡,目前正在釐清是否入侵成功,以及使用了哪些間諜軟體。此外,另1名SEDE的工作人員,也成為了受害者。新的證據表明,環繞著歐洲議會安全漏洞的危機正在擴大,《政客》21日也曾提及,歐洲議會正在要求SEDE成員檢查其手機是否存在間諜軟體。尤其在6月的歐洲議會選舉前夕,該機構對網路攻擊和境外勢力的干涉保持高度警戒。間諜軟體「飛馬」(Pegasus)由以色列公司NSO集團開發。(圖/達志/美聯社)《政客》為此也聯繫上5名SEDE成員,他們目前不是正在預約檢查手機,就是計劃在下週進行偵測。SEDE的1名議員也表示,有鑑於安全漏洞的嚴重性,成員們正在等待盧瓦索宣布召開主要成員的會議。另1位綠黨議員則表示,他們將要求在下週於法國史特拉斯堡(Strasbourg)舉行的全體會議開幕式上,就間諜軟體一事進行辯論。波蘭總理唐納德圖斯克(左)與總統安傑伊杜達2月13日出席內閣委員會時表示,已經有明確證據顯示,上一任政府使用間諜軟體「飛馬」(Pegasus),且受害者名單「非常多」。(圖/達志/美聯社)報導補充,飛馬首次在2016年8月遭到曝光。2020年8月23日,以色列《國土報》(Haaretz)指出,NSO集團以數億美元的價格向阿拉伯聯合大公國和其他波斯灣阿拉伯國家出售過飛馬。此外,法國總統馬克宏、西班牙首相、西班牙國防大臣、《華盛頓郵報》專欄作者卡舒吉的家屬都成為飛馬軟體監控的目標。
史上頭一遭!台灣大9萬支手機 出廠前遭駭成「詐騙共犯」
電信史上頭一遭,台灣大哥大自有品牌的AMAZING A32白牌手機,有特定版本遭植入惡意程式,詐騙集團利用該門號申請遊戲帳號、騙遊戲點數,不知情的用戶竟成詐騙共犯。該手機累計售出逾9萬支,還有7600人使用中,台灣大即起全面召回更新軟體,並提供購機補償與帳單減免。刑事局已報請檢方偵辦此案。手機遭植入惡意程式詐騙流程圖國內銷售的白牌手機,多由大陸廠商設計製造,並以台灣品牌對外銷售。NCC副主委翁柏宗昨代表NCC致歉,因為「無法全面確保民眾資通安全」,將依《消保法》與《電信管理法》要求業者召回該款手機,如無法履行,會按照《電信管理法》處10萬到100萬元罰金。資安漏洞 NCC致歉NCC並宣布兩大措施,一是電信業者自有品牌手機在大陸製造者,須符合資安標準才可販售;二是大陸品牌手機、電信業者自有品牌陸製手機,將納入年度抽測項目,不符者應儘速改善。警政署去年7月接獲2名長者陳情,指莫名遭檢警依詐欺罪傳喚。刑事局清查發現,全台共48人有相同狀況,經數位鑑識,確認都使用A32手機,且全是出廠前就已暗藏惡意程式,根本無法察覺,研判有更多人受害。業者召回 升級軟體A32手機由台灣大授權國內「力平國際公司」負責設計、生產,力平再委託大陸廠商華瓏公司代工,共出貨9萬多隻來台,懷疑是大陸工程師在製程時將惡意程式植入韌體,或誤用含惡意程式的模組;詐團雲端操控,讓持有者成詐騙人頭戶。這是NCC自2017年推動手機資安認證以來,首次爆發大規模資安漏洞,各界高度重視。NCC表示,接獲警方情資後,已主動檢測其他白牌手機,並無類似狀況,也隨即要求台灣大立即清查並全責善後。台灣大表示,接獲通知後針對A32手機軟體檢測,發現有資安疑慮後,立即主動封鎖海外7個惡意IP,即起全面召回該款手機升級軟體,最新V2.0版已通過國家實驗室檢測,符合第一級資安要求。台灣大解釋,該手機是2018年為鼓勵用戶由3G轉4G,推出的低價機款,原價僅1990元,但去年5G開台後就全面下架。明(8)日起可持該手機到門市回收,並提供1000元購機折抵,及減免帳單1000元。
NCC檢測手機安全 有1支有安全漏洞仍在賣
國家通訊傳播委員會(NCC)針對2019年第一季市場熱銷10款不同品牌智慧型手機進行內建軟體資通安全檢測,經過第一階段初測僅有1支品牌手機通過,最後經過複測及改善,仍有1支手機沒有通過檢測。NCC為保障消費者權益、提升消費者資安意識及帶動智慧型手機製造商重視內建軟體資通安全, 在去年下半年抽測了市場上銷售量較高之10款不同品牌智慧型手機,進行初測及2個月改善期的複測及第二次複測,最後10款智慧型手機中共通過9款,仍有1款未通過測試。在2019年10月初測就通過的是Apple iPhone XR;經過2個月改善期後,在2020年2月第一次複測通過的有HTC U12、三星Galaxy A7 2018、NOKIA 8.1、SONY XPERIA L2、ASUS Zenfone MAX M1、SUGAR P1、華為Y9 2019等7款;2020年4月第二次複測通過的有OPPO AX5。仍有1支品牌智慧型手機未通過檢測,對此,NCC表示,未通過之型號,因考量內建軟體尚有漏洞,則不公布,並已請廠商修補妥處,以避免駭客乘機入侵,造成既有使用者的個資及隱私安全受到威脅。NCC指出,依據2017年3月3日公告「智慧型手機系統內建軟體資通安全檢測技術規範」檢測包括「未將敏感性資料(如:個人資料)加密或儲存於作業系統保護區」、「具付費功能之內建軟體加密強度不足」、「與付費功能伺服器間傳輸,未使用安全之加密演算法」、「預設開啟不必要之權限」、「初次存取使用者綁定裝置之帳戶未先認證使用者身分及權限」……等10個項目。NCC提醒,民眾對於「自行安裝」App須提高對資安風險意識及警覺性,不強行取得根管理者(root)權限或越獄(JB)、不瀏覽可疑網站、不連接可疑Wi-Fi接取點。定期更新密碼、更新軟體程式及備份資料、關閉未使用的Wi-Fi/藍牙/NFC等介面、連接的Wi-Fi接取點要開啟加密防護、手機廢置前要刪除機敏資料。