隨著無線通訊軟硬體技術的提升，手機功能多元且複雜，然隱私保護衍生出的資安問題，卻不能不防！那該怎麼做？政府能否幫幫忙？  

---

隨著智慧型手機的普及與功能越來越強大，已是人手一機，但有關它隱私保護的資安問題，卻不可不慎！（圖：台灣光華雜誌提供）

科技始於人性，為迎合消費者需要，1994年IBM公司發行世上第一支結合行事曆、記事本等應用程式的智慧型手機Simon，至2007年蘋果推出了第一代iphone，接著2008年第一部android手機也相繼問市。現在智慧型手機，幾乎已是現代人的行動電腦，甚至是許多人生活上的「親密愛人」。 

但你知道嗎？當智慧型手機與個人電腦的界線變模糊時，只要我們手機開啟上網的同時，就可能與手機製造商、行動通信服務業者及應用軟體的開發商三方傳遞資料，也就是說我們在輕滑介面時，所有的資料，都有可能暴露在遭惡意利用或曝光的險境中……。 


資料在「無聲無息」中全都露

智慧型手機的資安風險約有七項，你防護措施做了幾項？（圖：資料提供：國家通訊傳播委員會；製圖：行政院行聞傳播處）

根據調查，臺灣12歲以上的民眾，持有智慧型行動裝置人口約有1,432萬人，普及率已達65.4%，預測2018年將達81.7%。但智慧型手機在講求快速開發的同時，卻忽略隱私保護所延伸出的資安問題。 

比較為大家所知的例子包括有：2014年，華碩手機內建大陸APP軟體「觸寶號碼助手」被發現取得過多個人資料存取權限；小米手機內建「網路簡訊服務」被發現未經使用者同意即傳送未加密的電話號碼、IMSI（國際行動用戶識別碼）及IMEI碼（國際行動裝置識別碼）等資料，引起大量網友及使用者熱議及抗議；2015年三星手機也因被發現內建的預設輸入詞彙系統「Swiftkey」，在更新時未限定存取權限且傳輸未經加密資料，致使用者連上免費Wi-Fi時，恐遭駭客植入惡意程式或入侵、遠端取得手機內通訊錄、照片等個人資料，全球估計有六億使用者受影響！ 

雖然在小米手機爆資安疑慮後，國家通訊傳播委員會（NCC）立即抽檢了市面12款智慧手機，報告出來包括小米推出的紅米機在內，全數都未涉及個資問題，但這樣還是叫人不安心！那麼到底怎麼做才安全？ 

小心暗藏中的「七」面埋伏 智慧型手機，就規格與效能來看，等同於一部可隨手攜帶的微型電腦，然就安全性而言，手機本身的設計與預設組態上可能存在不少潛在弱點。美國國家標準局NIST SP 800-124R1「機關行動裝置安全管理參考指引」（Guidelines for Managing theSecurity of Mobile Devices in the Enterprise）文件中，即指出當前行動裝置7大主要資安風險來源：
  

在高度使用APP的情況下，許多人卻忽略在安裝APP應用軟體時，可能無意間「同意」授權軟體商取得了使用者資料。（圖：台灣光華雜誌提供）

♦ 行動裝置連線安全與遺失風險 
比起其他裝置，使用智慧型手機最大風險莫過於遺失或遭竊，若手機未設定保護功能，如自動密碼鎖定，未經授權的人可以直接取得失竊手機內部所有資料。其次，在使用行動裝置或接取網路資源時，若能透過網域的認證識別，也可強化行動裝置的安全性及認證能力。 
 ♦ 行動裝置本身是否可信任 
現在的行動裝置普遍缺乏如內建於筆記型電腦或其他型式主機的可信任功能（如TPM安全晶片），時有越獄（JailBreak）或取得原始管控權力（Root）事件發生，也就是技術性修改行動裝置原有的安全設定或是作業系統的使用限制，使其無法發揮實質保護功能。 
 ♦ 是否連線至可信任的網路 
對於智慧型手機而言，免費Wi-Fi是最具有潛在威脅的上網管道，因為駭客可藉由公用Wi-Fi攻擊手機上的應用程式，在其中植入惡意連結，讓使用者即使使用正版應用程式，也可能被駭客入侵，以至接收錯誤資訊，甚至點選木馬連結。
  ♦ 是否安裝不可信任的APP軟體 
根據2014年一項臺灣消費者行動裝置安全暨APP使用行為研究調查中發現，智慧型裝置使用者平均每天使用APP時間已經達到132分鐘，年齡層20-34歲的使用者中，平均每天使用APP時間更超過2.5個小時以上。 
手機APP軟體最大隱憂為「使用者權限」及「個資外洩」問題，因許多手機應用程式的使用條款中，記載使用者須同意應用程式可存取使用者的個人資料，包含手機狀態、識別碼、GPS定位、連絡人資料、通話記錄、完整網路存取權、擷取執行中的應用程式，如相機／照片功能，以及在其他應用程式上顯示內容等，像Facebook上自動PO文。但很多人往往未仔細瞭解應用程式的存取權限，即按下同意，個人資料便在不知不覺中洩露。 
 ♦ 是否存取不可信任的內容 行動裝置有可能使用不可信任的內容，例如QR Code會被轉譯成相關的連結網址（URL），而惡意的QR Code有可能直接將行動裝置導向惡意網頁，引發目標式攻擊（Targeted Attacking）。 
 ♦ 是否使用安全的資料同步儲存與雲端備份 
行動裝置在資料同步與儲存時，可能須與其他系統互動。而若以企業角度而言，若相關設備均在公司的管控範圍內，一般而言其風險可被接受。但問題是，常常其中一項或多項設備是屬於公司員工個人擁有，無法予以管控；例如，利用個人的行動裝置連結到公司配發的筆記型電腦、使用公司配發的行動裝置連結到個人的筆記型電腦、利用公司配發的行動裝置連結到遠端的備份服務等等。在這些情況下，公司資料均儲存於公司外不安全環境的風險中，讓惡意程式有機會藉以在設備間傳送。 
 ♦ 是否揭露行動裝置GPS定位 
內建GPS功能的智慧型手機通常可以執行在地化服務（Location Services），亦即依據GPS的地理資訊，提供與現在所在位置相關的商業服務。但在安全方面，具在地化服務功能的行動裝置面臨更大的目標性攻擊風險，因為使用者與行動裝置的位置資訊，可讓有心人士易於利用這些資訊發動攻擊。
 
所以手機的資安防護，還是要從自身做起，如儘量在官方軟體商店，像APP Store或Google play下載可信賴的APP、注意APP權限要求之合理性、安裝防毒軟體、注意資料防護與加密保護、勿修改或破解行動裝置安全措施、設定密碼自動鎖定功能、對公開Wi-Fi網路保持懷疑心態、小心使用定位功能等等 

政府出手，手機也有資安認證 

為強化我國行動裝置資通安全及民眾個資、隱私防護，國家通訊傳播委員會，正針對手機出廠的系統內建軟體資訊安全，研訂檢測及認證機制，並制定相關規範。（圖：行政院新聞傳播處）

由於智慧型手機的資安風險已成為消費者保護的新興課題，雖然目前國際間並無針對手機資安訂有統一檢測標準，且現有的手機檢測認證也只針對硬體，並無強制性規範。然為強化我國行動裝置資通安全及民眾個資及隱私防護，國家通訊傳播委員會正針對手機出廠的系統內建軟體資訊安全，參考世界各國相關規定或標準，研訂技術檢測規範及認證機制，內容至少包括檢測項目、檢測目的、檢測流程、檢測方法、內建軟體資通安全分級及認證標章等項目，並將要求行動通信業者在電信資費方案搭配手機促銷時，須確實符合檢測及認證機制規範，透過督導業者保障使用者權益。 

滑世代的智慧型手機如同個人電腦一樣，一旦連上網都須面對來自網際網路資安風險的挑戰。想要安全不外漏，首先要養成良好的使用習慣，再藉政府與民間的努力，透過手機檢測及認證機制，確保手機內建APP軟體的安全。這樣不管是個資或隱私，才能一點不露！

 

（本文由國家通訊傳播委員會提供參考資料，行政院新聞傳播處整理編輯）