台灣大哥大Amazing A32手機遭植惡意程式，使簡訊OTP可被攔截，疑上百用戶淪為詐騙人頭帳戶

由台灣大哥大推出的一款自有品牌手機「Amazing A32」，在去年下半被刑事警察局發現，手機生產製程階段被暗中植入了惡意程式，使得詐騙集團可將用戶門號作為遊戲點數詐騙的人頭帳號，並且已有多位無辜民眾因此收到全臺地檢署通知單，案由為詐欺。這起事件，最近有了一些新的結果。

在2021年1月6日，國家通訊傳播委員會（NCC）、台灣大哥大，各自發布相關公告。NCC指出，這次事件凸顯相關大陸白牌手機帶來的資安議題，因此未來他們將進一步要求，需符合資安標準以及納入年度抽測。同時，台灣大哥大宣布將全面召回Amazing A32，其合作廠商「力平國際」已釋出新版2.0作業系統，將協助用戶進行安全性軟體升級。

不僅如此，刑事警察局也在同日召開記者會，揭露這次案件的偵辦經過，他們是從半年前接獲民眾陳情開始，察覺被害人都是年長者，進而追蹤調查與分析。

值得關注的是，在這起事件下，除了詐騙集團與黑色產業進而引發的社會事件，以及中國製白牌手機帶來的資安疑慮，行動業者自家產品委外代工的資安品管挑戰，都成關注議題之外，我們還注意到一個容易被外界忽略的焦點，就是簡訊OTP遭攔截的事件，已經在臺灣發生，相關安全隱憂也很值得國內重視。

在2020年下半就已有許多受害者，刑事警察局指出不少年長者被當人頭帳戶

關於這起事件的調查經過，我們詢問最先開始調查此案的刑事警察局，根據該單位提供的說明，他們旗下打擊詐欺犯罪中心之所以開始偵辦，起先是在2020年7月接獲兩件民眾陳情，他們因為遊戲點數詐騙案件收到地檢署通知單，由於這兩起案件當事人為50多歲與70多歲，因此察覺案情有異可能不單純，於是警方展開關連式分析，接著在2020年8月共收集了48起案件，發現其共通特性，都是使用同一個廠牌的手機，因此繼而報請檢察官指揮調查，並在2020年9月時由刑事警察局研發科進行數位鑑識，發現手機遭植入木馬，之後並依相關規定通報NCC。

後續，這起事件其實已在2020年10月17日曝光於媒體，包括TVBS與東森等電視媒體報導，後續平面媒體自由時報也跟進。在這些報導中，指出刑事警察局當時透露，警方接獲遊戲點數詐騙案件後，在追查過程中，先是從遊戲公司調閱遊戲點數所存入的遊戲帳號認證手機門號，發現門號申請人或使用者，有不少是高齡年長者，成為疑點，經後續分析，查出這些用戶都使用了同款低價位的手機，而且是掛上臺灣品牌的中國製白牌手機，並研判該支手機在當地產製過程中，就被偷偷植入惡意程式，並以臺灣品牌賣給國內民眾。

當時，刑事警察局並未揭露是何款手機有問題，不過以白牌手機又是掛上臺灣品牌販售，範圍其實已經限縮不少，由於是在手機生產階段就被植入惡意程式，這也提醒了臺灣行動業者販售自家品牌的貼牌手機產品時，對於委外代工的資安管控可能不足的隱憂。

NCC警示中國製白牌手機存資安疑慮，台灣大哥大釋出新版系統修補並將協助更新

對於台灣大哥大自有品牌Amazing A32手機引發的資安疑慮，在NCC發布的聲明中，他們指出，為確保國內用戶的消費者權益，因此希望台灣大哥大盡速釐清事件發生的主要原因，並依消費者保護法及電信管理法相關規定，要求該公司儘速善後補救。

同時，NCC還說明了這起事件是如何讓使不知情的手機使用者，變成詐騙集團的人頭，並指出這次事件使中國製白牌手機的資安議題浮上檯面，因此他們日後針對此類以臺灣品牌銷售的中國白牌手機，將會採更嚴格的管理措施。

NCC強調，這次事件凸顯大陸白牌手機資安議題，出廠即被植入惡意程式，為了保障消費者權益，現在NCC將採取更嚴厲的要求。
附帶一提的是，關於電信業者推出自有品牌手機（業者本身並無研發手機），舉例來說，除了台灣大哥大推出Amazing系列手機，遠傳電信也有Smart系列手機，而中華電信在10年前也曾推出過CHT 8000的貼牌手機。

在這次事件中，是否還有其他白牌手機受影響？我們詢問NCC，該單位副處長吳銘仁表示，他們是在2020年11月接獲刑事警察局分享的情資，進而得知Amazing A32手機在產製過程中被植入惡意程式，之後他們也著手檢測這款手機，同時通知台灣大哥大儘速處理。

吳銘仁表示，NCC在2020年就有針對市售手機進行年度資安抽測作業，在得知此一情資後，他們也額外檢測該款手機，以及其他電信業者自有品牌手機。所幸，調查結果中，其他的自有品牌手機沒有發現類似情事。

另一方面，關於台灣大哥大在此事件的資安應變上，是否得知此一情況時就將Amazing A32產品下架，並進行資安事件調查，以及委外代工資安品管過程檢討？對此，台灣大哥大向我們答覆，Amazing A32手機在2020年7月5G開臺後，就已經從相關通路全面下架，因此在後續事件傳出時，消費者已經不會在通路上買到該產品。

而根據台灣大哥大的新聞公告內容，他們在發現該款手機的資安疑慮後，也有相關處置動作。當中包括：封鎖海外7個惡意IP位址，並要求負責產製Amazing A32手機的臺灣廠商「力平國際」，開發新版2.0作業系統，以及再次清查「力平國際」生產的所有Amazing貼牌手機，查出僅「Amazing A32」委由中國廠商華瓏公司代工，其他Amazing機種則沒有相關問題。

現在，他們已經釋出該款手機的2.0版更新程式，用戶可在台灣大哥大官方網站下載，或是前往門市由專人協助系統程式的更新升級。

臺灣大哥大在1月6日表示，針對Amazing A32手機發布修補更新的2.0作業系統，並說明他們也會陸續以客服通知受影響的用戶，協助軟體升級或更換其他方案機種。

綜合來看，在這次事件中，影響國內用戶數不小。因為Amazing A32共銷售出94,191支，而現今仍使用台灣大哥大門號與該款手機的用戶數7,557人，更值得關注的是，台灣大哥大指出受影響用戶數約200位，這可能就是已知指被作為詐騙遊戲點數人頭帳號的報案受害者人數，而我們後續也已再次求證，目前他們尚未回覆。

至於被當成人頭帳號的用戶而言，因為購買與使用出廠即內建惡意程式的Amazing A32手機，後續是否能有法律上的求償，也成民眾關心焦點。

當然，對一般消費者而言，就NCC的作法來看，也只是幫助增加手機出廠時的安全管控，但應該是品牌商本身的責任。另外，用戶後續使用上安裝App，還是會面臨同樣的風險，就成為用戶自己要防範與留意的部分，例如，若是從AppStore或Google Paly市集下載的App，蘋果與Google會幫忙把關，但要知道的是，還是有未知風險存在，若是使用者自行從其他市集或下載APK檔，風險則是會更大，

在昨日（1月6日）台灣大哥大Amazing A32遭植入木馬的新聞傳出後，後續在網路上發現有不少網友留言表示，自己就是購買Amazing A32手機後被當成詐騙人頭帳戶的受害者，而我們也在臺灣電子布告欄批踢踢實業坊PTT上的法律LAW看板，看到一名網友在今日（1月7日）於板上求助。他說，之前也是這支手機的使用者，自去年因被栽贓詐欺案所苦。經聯繫，我們向這位網友取得事件相關圖片，當中顯示他所收到的全臺多處地檢處通知信。對於遭遇這樣的事件，這位先生向我們說明他所遇到的困擾，主要就是需要跑全臺警察局跟地檢署，不僅影響到自己上班，需要跟公司請假，也要花時間並且自出車費前往到案說明，以敘述自身的清白，這樣的經歷讓他相當感到相當身心俱疲。因此，他對台灣大哥大目前處理的方式不滿，2000元的補償根本不足以賠償那段時間的損失。（圖片來源／網友提供）

詐騙集團可攔截遊戲認證碼簡訊

另一個關注焦點是，根據NCC指出，在產製過程被植入惡意程式的Amazing A32手機，由台灣大哥大冠名授權品牌來臺銷售，當國內民眾購買並使用手機後，詐騙集團可竊取該手機所使用的門號資訊並利用，向遊戲公司申請遊戲帳號。

關於詐騙的詳細流程，NCC有較清楚的說明，當遊戲公司傳送遊戲認證碼簡訊到該門號時，簡訊同時回傳給詐騙集團並在本機上自動刪除，因此，詐騙集團可以攔截到的遊戲認證碼簡訊，建立人頭遊戲帳號。同時，在詐騙集團騙取遊戲點數時，會透過國外IP位置將點數儲值至該人頭遊戲帳號內，進而導致不知情的Amazing A32手機用戶，變成詐騙集團的人頭。

因此，這起事件除了關注產製過程被植入惡意程式，是否同時也暴露了簡訊OTP被攔截的現況，而且在臺灣就已有多個實際被害者。由於簡訊OTP的安全議題，這幾年在歐美都已經有所關注，包括2016年美國NIST發布的數位認證指導原則草案，以及2019年歐盟PSD2的規範，臺灣政府、企業可能也要持續關注這方面的議題。