回看板
Disp BBS
看板 MobileComm
作者 pujos (lks)
標題 Re: [新聞] NCC去年抽測10款手機軟體資安 僅iPhone12
時間 Sat Jan  8 13:09:08 2022

NCC是在測試受攻擊下,內建軟體有無基本防護
如帳號、密碼、個人訊息等個人敏感資料有無獨立存放或加密
這裡跟你想像中的資安不太一樣

詳細測試項目如下:
1.內建軟體應將帳號、通行碼或金鑰儲存於作業系統保護區內或以加密方式儲存
2.內建軟體具備付費功能時,應使用多因子或強驗證進行用戶身分辨識
3.內建軟體應避免交談識別碼遭重送攻擊
4.與付費功能伺服器間傳輸,應使用安全之加密演算法
5.不可於執行期間將敏感性資料儲存於系統日誌檔案
6.存取敏感性資料前,應取得使用者同意

選手機的基本邏輯是
1.中國手機必選
2.再來依銷售佔比從前往後數,一家挑一隻出來測(迷:說是沒公布,實際上地圖砲

結論來了
第一輪中國五家全掛,複測通過
第二輪只有蘋果一次就過,其他廠牌"全部"沒過,還沒複測。
這代表三星、SONY、華碩...通通沒過
HTC、Pixel不好說...因為賣得占比太少,可能根本沒抽到

想買有基本資安防護的手機嗎
請買蘋果
其他通通不合格



※ 引述《olmtw (olmtw)》之銘言:
: 1.原文連結:連結過長者請使用短網址。
: https://udn.com/news/story/7098/6015384
: 2.原文標題:標題須完整寫出(否則依板規刪除並水桶)。
: NCC去年抽測10款手機軟體資安 僅iPhone12過關
: 3.原文來源(媒體/作者):例:蘋果日報/王大明(若無署名作者則不須)
: 聯合新聞網/馬瑞璿
: 4.原文內容:請刊登完整全文(否則依板規刪除並水桶)。
: 2022-01-06 23:07 聯合報 / 記者馬瑞璿/台北即時報導
: 為保護民眾手機資訊安全,國家通訊傳播委員會(NCC)自2017年開始推動手機
: 內建軟體資安抽測,2021年,NCC總共抽測15款智慧型手機內建軟體資安狀況,
: 15款機種中,有5款中國大陸手機品牌初測未過、複測才過,有9款尚未通過,僅
: 有iPhone 12一次就通過。
: NCC表示,去年總共抽測15款手機,上半年抽測的5款大陸廠牌智慧型手機,分別
: 是REALME C3、OPPO A72、VIVO Y50、MI NOTE9 PRO、SUGAR T30 64/3G DUAL
: LTE,初測均未通過,但手機製造商積極配合改善,已於複測時全數通過。
: 去年下半年NCC總共抽測10款不同廠牌的智慧型手機,初測僅有iPhone 12通過,
: 其他9款手機尚未通過,主要是考量其內建軟體尚不符測項要求,暫不予公布,
: NCC已函請手機製造商積極配合改善。
: NCC強調,資安事件層出不窮、駭客攻擊手法日新月異,通過檢測的手機,並不
: 能保證未來手機之安全性,手機內建軟體如有更新版本,手機製造商應就更新部
: 分重新檢測及驗證,如事後被發現其系統內建軟體有資安漏洞或風險時,製造商
: 仍應及時修補,並請民眾注意相關修補資訊。
: 另外,手機資安風險更包括民眾「自行安裝」的APP及使用習慣等,因此,民眾
: 仍須提高資安風險意識及警覺性,選擇值得信任的手機及APP。
: NCC並提供民眾保持良好使用手機習慣,切記「三不五要」,以加強保護個人資
: 料與隱私安全,「三不」分別是「不瀏覽可疑網站」、「不連接可疑的Wi-Fi」
: 、「不強行取得管理者權限」,「五要」分別是「要定期更新密碼」、「要更新
: 軟體程式及備份資料」、「要關閉未使用的Wi-Fi/藍牙/NFC等介面」、「連接的
: Wi-Fi要開啟加密防護」、「手機不再用時要刪除機敏資料」。
: NCC進一步強調,未來仍會在有限行政資源內,持續推動智慧型手機內建軟體資
: 通安全抽測並公布結果,亦會對高風險地區廠牌的手機加強抽測,以促使手機製
: 造商更加重視手機內建軟體資通安全,確保消費者權益。
: 5.心得/評論:內容須超過繁體中文30字(不含標點符號)。
: 主要沒有通過原因是內建軟體不符合測項需求
: 不是很知道具體不符合的點是什麼,畢竟只有iPhone成功過關
: 期待廠商修改後NCC具體說明,相信未來也能提供重視資安的消費者更充分的購機資訊

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 27.247.197.192 (臺灣)
※ 文章代碼(AID): #1XsHntHj (MobileComm)
※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1641618551.A.46D.html
※ 同主題文章:
[新聞] NCC去年抽測10款手機軟體資安 僅iPhone12過關
01-08 08:58 olmtw
Re: [新聞] NCC去年抽測10款手機軟體資安 僅iPhone12過關
01-08 13:09 pujos
yurian: C3賣得不錯 當時低價最好的手機XD1F 01/08 13:12
geesegeese: 用安卓就別要求資安,畢竟非封閉體系2F 01/08 13:15
※ 編輯: pujos (27.247.197.192 臺灣), 01/08/2022 13:17:10
sismiku: 開源也是可以資安的…3F 01/08 13:19
ww1234528: 感覺測試項目滿合理的吧4F 01/08 13:28
SkyPlus: 你太早破梗了啦,我還在看前一篇失智列車要開到哪去撞山5F 01/08 13:36
estupid: 不是沒過 是太少人用沒抽到6F 01/08 13:39
momo0215: 乾 friday錢包開sim卡鎖也可以讀到餘額了
太神啦7F 01/08 13:42
skyangle0607: 我覺得樓上是推錯文章了9F 01/08 13:48
fiiox3: 測試項目蠻合理的。不過android是那些做不到阿?10F 01/08 13:51
grace0523: 怎不敢測ip13 ?11F 01/08 14:05
OEC100: 還蠻合理的阿,手機存一堆信用卡和網站密碼
不知道誰的個資不值錢這些都能讓別人看12F 01/08 14:13
dennis1212: 還蠻合理的,不過如果使用習慣差,用什麼手機都一樣14F 01/08 14:30
segio: 蘋果教大勝利15F 01/08 14:44
terry1043: samsung pass的問題?16F 01/08 14:55
marquelin: 好像有人連標題文字去年都看不懂17F 01/08 15:05
wind125: 安卓個資就像大街上裸奔嗎?18F 01/08 15:09
armytomas: 如此的抽測,可以說圖利蘋果嗎?所有安卓手機都沒過,標準是不是為某手機量身定制?19F 01/08 15:12
hitsukiaoi: 圖利甚麼 前四項沒過代表隨便一隻猴子入侵你的手機
信用卡就隨他刷了 不然還要測啥21F 01/08 15:32
james732: 項目看起來很基本23F 01/08 15:35
rinppi: 如果隨便一隻猴子能刷那應該在場所有用安卓的都被盜刷過吧==24F 01/08 15:35
Mimmature: 信用卡號碼跟密碼不算個資好嗎
什麼個資不值錢讓人看信用卡號碼...
先搞清楚個資的範疇再說你在乎個資26F 01/08 15:37
hollen9: 上一篇根本沒寫詳細測試項目吧 然後建議不使用時關wifi藍芽 根本就不實際 這樣的話大公司, 軍隊資安管控 是否應該只放行蘋果?29F 01/08 15:41
hitsukiaoi: 有些重大資安的還只能帶公發手機或智障型32F 01/08 15:53
Kismeter: 反正都還能複審,不知道在急啥
手機使用習慣差,什麼手機給你也沒用33F 01/08 16:00
j2550420: 2樓那邏輯
那是不是不要用windows好了...35F 01/08 16:06
applewarm: 推,一試就知道了。這種測試,一般人也做不到37F 01/08 16:09
belucky: 干  難道以後要買唉鳳了嗎  安卓那麼爛38F 01/08 16:09
Kismeter: https://reurl.cc/3jNAkl
搞烏龍?小米手機遭疑「文字審查」外媒曝:過濾不當廣
NCC不回應一下嗎,熱騰騰的新聞
"主要是考量其內建軟體尚不符測項要求,暫不予公布",測項要求又是啥39F 01/08 16:11
搞烏龍?小米手機遭疑「文字審查」外媒曝:過濾不當廣告 | 生活 | NOWnews今日新聞
[圖]
國家通訊傳播委員會NCC昨(6)日發布報告,指出小米10T手機有「文字審查」狀況,消息披露後掀起軒然大波。小米官方昨(6)晚嚴正火速回應:「小米從來沒有,將來... ...

 
lukeskywork: 安卓安全性更新下放各廠牌時間不一,有些根本被放生了。45F 01/08 16:27
volleywayne: 太早破梗了,我還想看各種護航的智商文47F 01/08 16:31
square4: 去年公布前年的結果:https://bit.ly/3q4Uyit,大概可以參考一下是抽哪些品牌哪個價位帶的機種48F 01/08 16:48
Request Rejected

 
henrylin8086: 開源要是不能資安,那這麼多用Linux的伺服器是不是都該收掉……50F 01/08 17:11
hollen9: 唐鳳自己都不是iPhone用戶52F 01/08 17:18
alans: 因為開源所以廠商可以放他們想要的 選什麼就看你的信仰了53F 01/08 17:22
trywish: 哪些沒過也不知道,那篇新聞最大問題點是除了中國外都沒過,也沒更新,結果一堆"護航"說中國手機有問題,連重點都劃錯。現在問題在A牌、S牌x2裡面,幾個項目沒過,說不定只有一兩個,也說不定全部沒過。這些重要的東西,整篇新聞卻和你說中國都沒過,複測過了。蘋果是唯一有過的。那其他非中國牌勒?
另外上一篇文章也沒什麼護航的人,整篇推文只是在吵中國機有問題,還說其他人護航中國機。劃錯重點就算了,連他54F 01/08 17:28
thomaschion: 騙不懂的,NCC自己內部也好不的到哪去62F 01/08 17:33
trywish: 口中有問題的中國機,對方也更新了。他牌問題不就更大。63F 01/08 17:33
NickXiang: 流量密碼:中國   話說回來該認真考慮買哀縫了64F 01/08 17:37
shinkiro: 刷機跟隨XDA,無康特65F 01/08 17:50
Ptt911: 沒事,支那不怕兒66F 01/08 18:02
toshiba5566: 拜登也知道你用手機看A片67F 01/08 19:01
OEC100: 測試項目都寫了不然?像元大金被盜憑證去買港股再來補洞然後靠北NCC沒做事嗎68F 01/08 19:52
mtcoat: NCC做的資安測試算是最基本的了,連基本都做不到?可以丟了…70F 01/08 20:14
Tomberd: 元大那個應該直接從交易端下手了吧
好奇有沒有 FCC 或 CE 有做類似的測試報告72F 01/08 20:23
weltschmerz: 真的不用太在意公家機關的智商 上次看過一個標案 公家開的設備規格 手機 ios就直接開當時最高規的 然後安卓他也同理 不過他是把每個部位都取最高規格的縫合怪 市面上根本沒有半隻符合74F 01/08 23:14
pryu0121: 推 實用文78F 01/09 00:22
bigsun0709: 看要送去那,送去台灣,韓國,美國沒差,至少這三國不會入境時碰到有海關或是公安叫你解鎖給他們看你的手機79F 01/09 00:42

--
作者 pujos 的最新發文:
點此顯示更多發文記錄