根據風傳媒的報導,台哥大手機被要求限期召回於製程中即被駭的手機,引起大眾對於通訊產品檢驗及審驗的討論。
台灣大哥大2018年販售1款中國製自有品牌手機「Amazing A32」,日前被刑事警察局發現有資安漏洞,手機製程被暗中植入惡意程式,用戶在不知情情況下竟成為詐騙集團騙取遊戲點數的人頭,由於這是國家通訊傳播委員會(NCC)2017年開始推動手機資安認證以來,第1次爆發大規模資安漏洞,NCC副主委翁柏宗6日罕見代表NCC向社會大眾道歉,並且要求台灣大限期內召回該款手機。根據NCC統計,該款手機自2018年開賣以來,共賣出9萬多支手機,單機價1599元,這將是台灣首起手機資安召回事件。
台灣的通訊產品都必須經過實驗室檢驗合格,並取得NCC的審驗證明後,才能上市銷售。即使是小公司也可進口通訊產品來台灣銷售,但都必須經過檢驗及審驗程序,而其它的資安檢測(如ESS)或管理系統的認證主要由申請者自主送測,目前並不是通過NCC審驗的強制性要求。
NCC主要是根據實驗室技術上的"檢驗"及報告,實施行政上的"審驗"及發照。而實驗室則是依檢驗標準LP0002進行檢測。LP0002主要規範實體層的物理特性,並無法涵蓋到應用層或開發/採購等流程面的東西。
所謂的ESS(Embedded Software on Smartphone Systems)認證是指"智慧型手機系統內建軟體資安認驗證體系"。為何ESS檢測為何不是強制性?根據NCC官方網站的問答集,主要原因如下:
目前國際、區域組織及歐美先進國家所提出的行動裝置資安規範多屬於指引或風險評估性質,並未要求智慧型手機須經資安檢測合格始得販售。為避免技術性貿易障礙(TBT),所以我國智慧型手機資安檢測及認證機制並非強制,而是由申請者自主送測。