科技

〈手機開後門3〉政府推手機安全檢測!有跟沒有差不多【壹科技】

政府為了民眾手機資訊安全推動的 ESS 檢測,竟然有跟沒有差不多?(圖片來源:趨勢科技)
政府為了民眾手機資訊安全推動的 ESS 檢測,竟然有跟沒有差不多?(圖片來源:趨勢科技)

>>訂閱會員強力募集!點我加入《壹訂友》限時免費一定有!

為了民眾的手機個資安全,政府委託了中華民國資訊安全學會,建立了所謂「 智慧型手機系統內建軟體資通安全檢測」(簡稱 ESS 檢測),國內也有 5 家實驗室通過認證提供此項服務。 其實 ESS 檢測規範裡面的要求相當完整,可以檢測手機從軟體資料層、應用程式層、通訊協定層、作業系統層、硬體層等的安全設計是否達到要求,而 ESS 也將檢測標準分為初級、中級、高級三等,每一級都需要經過特定的必要檢測程序才能通過,光是初級的必測項目就包括資料(使用授權、儲存保護、遺失保護)、程式(身份辨識、信任來源、執行授權、執行安全)、協定(使用授權、傳輸保護)、系統(操作授權、身份辨識、執行安全)等項目,通過認證也一定程度代表著廠商對使用者資料保護的重視。

〈手機開後門1〉手機資料沒人要?傻子才這樣說【壹科技】

〈手機開後門2〉後門程式怎麼防?電信防毒都沒用!【壹科技】

〈手機開後門4〉手機資安靠自己!4個步驟保安全【壹科技】

不過在有相關檢測以及認證機構的狀況下,從 2017 年到現在,僅有 7 款手機進行 ESS 檢測(而且僅有一款通過中級的資安測試),對比台灣一年上市的手機款式,根本不成比例,到底原因為何?

從 ESS 檢測開始至今僅有 7 款手機進行資安檢測(圖片翻攝自ESS 檢測官網)
從 ESS 檢測開始至今僅有 7 款手機進行資安檢測(圖片翻攝自ESS 檢測官網)

ESS 檢測非強制

其實最主要的原因,就是 ESS 檢測並非強制性 ,採用廠商自行送測後核發標章認可的方式,並非每款手機上市前都要送測。根據消息來源指出,現在有通過 ESS 的手機,均為 電信業者配合政府政策,每年推薦送測一款手機,委由手機廠商送測的結果 ,截至目前為止,僅有三星、HMD(Nokia)、Oppo、Infocus、華為、Sony、HTC 各一款手機進行測試,僅能視為呼應政府要求所做的應付作為。另外光是一款手機進行初級測試,就需要花費 60 萬元的檢測費用 以及 1-2 個月的測試時間 ,對於變動快速的手機市場,跑完測試時間產品就過了上市首波的重要銷售期,也是讓手機廠商送測意願不高的原因。

手機組態變動頻率高

另外手機內部組態,會因為軟體更新或是設定不同而進行改變,也是 ESS 檢測機制難以令人信服的因素之一。例如在 ESS 初級標準裡,就要求廠商列出「手機系統之更新來源應與「廠商自我宣告表」中所宣告之「資料連結伺服器之 IP/DN/公司主機名稱」相符。」這項,但這部分常常會因為服務商(如 Google)或是手機廠商更新伺服器的變動而有所不同,更別提其他 APP 應用服務的變動,都會讓 ESS 的檢測結果,在不同的軟體版本下就失效。甚至手機廠商就直言,是即便通過 ESS  檢測,也未能保證手機能達到許多消費者要求的安全定義(除非都不更新軟體或不下載其他 APP)。

實驗室商業考量 自行送測不可行

既然如此,如果以個人名義送測自己手機是否可行?(如果付得起 60 萬元的檢測費),壹週刊也這樣詢問過認證實驗室,在願意付檢測費用的狀況下,是否接受週刊送測手機。答案是 不行 。主因是除了 ESS 檢測外,實驗室通常還經營包括手機電磁檢測等上市前的認證作業, 一旦接受個人送測,萬一送測結果有疑義(也就是有問題),公布與否,都會影響實驗室業務單位去接其他手機檢測業務的案子。而通常檢測的結果,實驗室也會與送測單位簽訂保密協定,公布與否取決在送測單位手上。

避免麻煩 電信業者送測挑機型

既然公布送測結果與否取決在送測單位手上,前面又提到送測的機型是由電信業者推薦,自然送測單位不會挑會幫自己「找麻煩」的手機廠商或機種,都會以好配合、檢測結果風險較低的品牌來進行,在種種因素下,讓政府推出 ESS 檢測這項措施,形同虛設。

手機安全怎麼保!最後還是要靠自己

既然政府檢測沒法參考,資安 APP 過濾又有限制,那該怎麼保護自己手機的資訊安全,下一篇壹週刊就來告訴大家怎麼靠自己!



本新聞文字、照片、影片專供壹週刊會員《壹訂友》閱覽,版權所有,禁止任何媒體、社群網站、論壇,在紙本或網路部分引用、改寫、轉貼分享,違者必究。

下載「台灣壹週刊APP