台灣大哥大今日發出新聞稿宣布其台灣大自有品牌Amazing A32手機特定版本內建軟體有資安疑慮,全面召回Amazing A32手機進行安全性軟體升級 。根據NCC的說法,Amazing A32手機被證實出廠被植入惡意木馬程式,若不更新,恐有被當作遊戲人頭帳號問題!
台灣大哥大的Amazing A32手機出了什麼資安問題呢? 台灣大哥大的補救措施為何? 以下作一整理:
1.台灣大哥大召回「Amazing A32」手機公告:
台灣大哥大發出新聞稿指出,接獲合作廠商「力平國際公司」通知,由其負責生產製造的「Amazing A32」手機,因強化資安防護需全面召回進行安全性軟體升級,台灣大接獲通報後,承諾將與「力平國際公司」充分合作,全力協助用戶將手機作業系統升級至最新V2.0版本。最新 V2.0版,經送請全國認證基金會(TAF)認證之國家級資安測試實驗室-財團法人電信技術中心(TTC)執行檢測,已確認符合台灣資通產業標準協會(TAICS)所公布之《智慧型手機系統內建軟體資安標準》及《智慧型手機系統內建軟體資安測試規範》資安檢測項目,已無資安疑慮。
台灣大表示,即日起客戶可透過本公司網站下載V2.0版更新程式,或可以前往台灣大各直營門市(1月8日起可至加盟門市辦理)由專人協助進行系統程式更新。此外,也提供專線服務電話,以手機直撥188或撥打0809-000-852(免付費專線)/02-66062999,按選項5,由客服人員協助處理。
「Amazing A32」手機軟體升級專區:【升級網址】
台灣大哥大表示;「Amazing A32」手機製造及送驗檢測,皆由「力平國際」負責,產品入關、通過檢驗、取得認證後,再交由本公司銷售。此款手機係為加速用戶由3G轉4G,於2018年4月4日推出,單機定價為1,990元。2020年7月5G開台,因應產品調整,「Amazing A32」手機於本公司相關通路已全面下架。
因該手機已被證實被植入惡意木馬程式,用戶恐成詐騙集團的人頭,若持有該手機的人,請務必立即配合召回更新!
2.Amazing A32發生什麼資安問題?
因去年有媒體與警方接獲民眾投訴與報案,指稱有中國在地工廠產製但掛上台灣品牌的手機在產製過程中被暗中植入惡意程式,該手機門號就被詐欺集團透過遠端操控自動申請手遊帳號,做為詐騙遊戲點數的人頭帳號,導致今年以來已有近百名年邁長者被懷疑是詐團人頭。經警方約談後發覺他們不僅不會玩手遊,手機也沒下載該遊戲;進一步調閱所申請的遊戲帳號IP時,大部分都在海外,根本無法追查,只能將其移送法辦。
圖片來源: 自由時報
NCC表示: 經接獲刑事警察局相關情資,進而發現上揭手機製程中被暗中植入惡意程式,手機成品由台灣大哥大冠名授權品牌來臺銷售,國人購買並使用手機時,詐騙集團可利用該手機門號向遊戲公司申請遊戲帳號,遊戲公司傳送遊戲認證碼簡訊到該門號時,簡訊同時回傳給詐騙集團並申辦完成遊戲帳號(即人頭遊戲帳號)後自動刪除;嗣詐騙集團騙取遊戲點數,以海外IP將點數儲值至該人頭遊戲帳號內,使不知情的手機使用者變成詐騙集團的人頭。
NCC指出「Amazing A32」(包含使用中、尚未售出、已淘汰或未使用)共銷售出9萬餘支,截至2020年12月20日止,台灣大哥大仍使用該款手機之用戶約7,600人,其餘使用中手機可能為號碼可攜至其他行動通信業者用戶持有,NCC已令台灣大哥大立即清查並通知所有持有者並全責善後處理。
NCC表示,此次事件凸顯了中國白牌(主要指由中國廠商設計製造,以臺灣品牌對外銷售)手機資安議題,為確保廣大手機用戶之消費者權益,NCC已針對中國白牌手機採行兩項應處措施:
A.「行動業者自有品牌手機在中國製造者,須符合資安標準才可販售」:
NCC要求行動通信業者自有品牌手機在申請手機硬體型式認證時,應提出符合台灣資通產業標準協會(TAICS)發布之「智慧型手機系統內建軟體資安標準」佐證,亦須針對該款手機一旦發生內建軟體資安事件切結補救措施,並確實揭露資訊供用戶了解。
B.「中國品牌手機、行動業者自有品牌中製手機將納入年度抽測標的」:
年度手機資安抽測將納入中國品牌手機、行動業者自有品牌中製手機,抽測結果不符合產業資安標準者,將要求手機製造商或業者儘速改善。
使用Amazing A32的用戶,個資會被看光光嗎?
這次被植入惡意木馬程式看來只是盜取門號當遊戲帳號/遊戲點數帳號,並不是去盜取用戶個資。若盜取門號當遊戲人頭帳號,很多只是單純變成遊戲資源商或是小號使用,不一定是當作騙取遊戲點數的人頭帳號、若是用做申請遊戲點數帳號(如橘子Gash樂點帳號..),就有被當人頭帳號可能。因台灣大哥大Amazing A32開賣至今已經超過兩年半,若有事,應該早就被警方傳喚了,所以只要盡早把手機更新版本,應該就沒事了,不用過度惶惶不安!
(補充:根據小丰子3C粉絲團網友提供的資訊,目前警方調查的該款手機遊戲點數詐騙案,應該是透過A32 手機+插上Sim門號並上網,就可能會被盜走該門號去做為申請遊戲橘子Gash樂點帳號或點數之用。網友經驗是插卡一週後,就接獲警方通知。若迄今沒事,代表應該沒事,儘早更新以策安全。)
由於中國製的老人機或是廉價智慧型手機被有組織植入惡意木馬程式來牟利,已經不是什麼新奇事。已經倒閉的知名金立公司過去生產的2652萬台手機都被自帶有木馬的「故事鎖屏」App,會進行App喚醒的動作,從而賺取這些App的拉活費用是最知名的中國手機出廠即被植入木馬程式案例。
這次台灣大哥大當初為加速用戶升級而貼牌中國廉價4G手機而踩到這個大地雷,雖然始料未及,不過也給電信業者一個大警訊,貼牌千萬不要只能價格(成本) 啊!