由台灣大哥大推出的一款自有品牌手機「Amazing A32」,在去年下半被刑事警察局發現,手機生產製程階段被暗中植入了惡意程式,使得詐騙集團可將用戶門號作為遊戲點數詐騙的人頭帳號,並且已有多位無辜民眾因此收到全臺地檢署通知單,案由為詐欺。這起事件,最近有了一些新的結果。

在2021年1月6日,國家通訊傳播委員會(NCC)、台灣大哥大,各自發布相關公告。NCC指出,這次事件凸顯相關大陸白牌手機帶來的資安議題,因此未來他們將進一步要求,需符合資安標準以及納入年度抽測。同時,台灣大哥大宣布將全面召回Amazing A32,其合作廠商「力平國際」已釋出新版2.0作業系統,將協助用戶進行安全性軟體升級。

不僅如此,刑事警察局也在同日召開記者會,揭露這次案件的偵辦經過,他們是從半年前接獲民眾陳情開始,察覺被害人都是年長者,進而追蹤調查與分析。

值得關注的是,在這起事件下,除了詐騙集團與黑色產業進而引發的社會事件,以及中國製白牌手機帶來的資安疑慮,行動業者自家產品委外代工的資安品管挑戰,都成關注議題之外,我們還注意到一個容易被外界忽略的焦點,就是簡訊OTP遭攔截的事件,已經在臺灣發生,相關安全隱憂也很值得國內重視。

在2020年下半就已有許多受害者,刑事警察局指出不少年長者被當人頭帳戶

關於這起事件的調查經過,我們詢問最先開始調查此案的刑事警察局,根據該單位提供的說明,他們旗下打擊詐欺犯罪中心之所以開始偵辦,起先是在2020年7月接獲兩件民眾陳情,他們因為遊戲點數詐騙案件收到地檢署通知單,由於這兩起案件當事人為50多歲與70多歲,因此察覺案情有異可能不單純,於是警方展開關連式分析,接著在2020年8月共收集了48起案件,發現其共通特性,都是使用同一個廠牌的手機,因此繼而報請檢察官指揮調查,並在2020年9月時由刑事警察局研發科進行數位鑑識,發現手機遭植入木馬,之後並依相關規定通報NCC。

後續,這起事件其實已在2020年10月17日曝光於媒體,包括TVBS與東森等電視媒體報導,後續平面媒體自由時報也跟進。在這些報導中,指出刑事警察局當時透露,警方接獲遊戲點數詐騙案件後,在追查過程中,先是從遊戲公司調閱遊戲點數所存入的遊戲帳號認證手機門號,發現門號申請人或使用者,有不少是高齡年長者,成為疑點,經後續分析,查出這些用戶都使用了同款低價位的手機,而且是掛上臺灣品牌的中國製白牌手機,並研判該支手機在當地產製過程中,就被偷偷植入惡意程式,並以臺灣品牌賣給國內民眾。

當時,刑事警察局並未揭露是何款手機有問題,不過以白牌手機又是掛上臺灣品牌販售,範圍其實已經限縮不少,由於是在手機生產階段就被植入惡意程式,這也提醒了臺灣行動業者販售自家品牌的貼牌手機產品時,對於委外代工的資安管控可能不足的隱憂。

NCC警示中國製白牌手機存資安疑慮,台灣大哥大釋出新版系統修補並將協助更新

對於台灣大哥大自有品牌Amazing A32手機引發的資安疑慮,在NCC發布的聲明中,他們指出,為確保國內用戶的消費者權益,因此希望台灣大哥大盡速釐清事件發生的主要原因,並依消費者保護法及電信管理法相關規定,要求該公司儘速善後補救。

同時,NCC還說明了這起事件是如何讓使不知情的手機使用者,變成詐騙集團的人頭,並指出這次事件使中國製白牌手機的資安議題浮上檯面,因此他們日後針對此類以臺灣品牌銷售的中國白牌手機,將會採更嚴格的管理措施。

NCC強調,這次事件凸顯大陸白牌手機資安議題,出廠即被植入惡意程式,為了保障消費者權益,現在NCC將採取更嚴厲的要求。
附帶一提的是,關於電信業者推出自有品牌手機(業者本身並無研發手機),舉例來說,除了台灣大哥大推出Amazing系列手機,遠傳電信也有Smart系列手機,而中華電信在10年前也曾推出過CHT 8000的貼牌手機。

在這次事件中,是否還有其他白牌手機受影響?我們詢問NCC,該單位副處長吳銘仁表示,他們是在2020年11月接獲刑事警察局分享的情資,進而得知Amazing A32手機在產製過程中被植入惡意程式,之後他們也著手檢測這款手機,同時通知台灣大哥大儘速處理。

吳銘仁表示,NCC在2020年就有針對市售手機進行年度資安抽測作業,在得知此一情資後,他們也額外檢測該款手機,以及其他電信業者自有品牌手機。所幸,調查結果中,其他的自有品牌手機沒有發現類似情事。

另一方面,關於台灣大哥大在此事件的資安應變上,是否得知此一情況時就將Amazing A32產品下架,並進行資安事件調查,以及委外代工資安品管過程檢討?對此,台灣大哥大向我們答覆,Amazing A32手機在2020年7月5G開臺後,就已經從相關通路全面下架,因此在後續事件傳出時,消費者已經不會在通路上買到該產品。

而根據台灣大哥大的新聞公告內容,他們在發現該款手機的資安疑慮後,也有相關處置動作。當中包括:封鎖海外7個惡意IP位址,並要求負責產製Amazing A32手機的臺灣廠商「力平國際」,開發新版2.0作業系統,以及再次清查「力平國際」生產的所有Amazing貼牌手機,查出僅「Amazing A32」委由中國廠商華瓏公司代工,其他Amazing機種則沒有相關問題。

現在,他們已經釋出該款手機的2.0版更新程式,用戶可在台灣大哥大官方網站下載,或是前往門市由專人協助系統程式的更新升級。

臺灣大哥大在1月6日表示,針對Amazing A32手機發布修補更新的2.0作業系統,並說明他們也會陸續以客服通知受影響的用戶,協助軟體升級或更換其他方案機種。

綜合來看,在這次事件中,影響國內用戶數不小。因為Amazing A32共銷售出94,191支,而現今仍使用台灣大哥大門號與該款手機的用戶數7,557人,更值得關注的是,台灣大哥大指出受影響用戶數約200位,這可能就是已知指被作為詐騙遊戲點數人頭帳號的報案受害者人數,而我們後續也已再次求證,目前他們尚未回覆。

至於被當成人頭帳號的用戶而言,因為購買與使用出廠即內建惡意程式的Amazing A32手機,後續是否能有法律上的求償,也成民眾關心焦點。

當然,對一般消費者而言,就NCC的作法來看,也只是幫助增加手機出廠時的安全管控,但應該是品牌商本身的責任。另外,用戶後續使用上安裝App,還是會面臨同樣的風險,就成為用戶自己要防範與留意的部分,例如,若是從AppStore或Google Paly市集下載的App,蘋果與Google會幫忙把關,但要知道的是,還是有未知風險存在,若是使用者自行從其他市集或下載APK檔,風險則是會更大,

 

在昨日(1月6日)台灣大哥大Amazing A32遭植入木馬的新聞傳出後,後續在網路上發現有不少網友留言表示,自己就是購買Amazing A32手機後被當成詐騙人頭帳戶的受害者,而我們也在臺灣電子布告欄批踢踢實業坊PTT上的法律LAW看板,看到一名網友在今日(1月7日)於板上求助。他說,之前也是這支手機的使用者,自去年因被栽贓詐欺案所苦。經聯繫,我們向這位網友取得事件相關圖片,當中顯示他所收到的全臺多處地檢處通知信。對於遭遇這樣的事件,這位先生向我們說明他所遇到的困擾,主要就是需要跑全臺警察局跟地檢署,不僅影響到自己上班,需要跟公司請假,也要花時間並且自出車費前往到案說明,以敘述自身的清白,這樣的經歷讓他相當感到相當身心俱疲。因此,他對台灣大哥大目前處理的方式不滿,2000元的補償根本不足以賠償那段時間的損失。(圖片來源/網友提供)

詐騙集團可攔截遊戲認證碼簡訊

另一個關注焦點是,根據NCC指出,在產製過程被植入惡意程式的Amazing A32手機,由台灣大哥大冠名授權品牌來臺銷售,當國內民眾購買並使用手機後,詐騙集團可竊取該手機所使用的門號資訊並利用,向遊戲公司申請遊戲帳號。

關於詐騙的詳細流程,NCC有較清楚的說明,當遊戲公司傳送遊戲認證碼簡訊到該門號時,簡訊同時回傳給詐騙集團並在本機上自動刪除,因此,詐騙集團可以攔截到的遊戲認證碼簡訊,建立人頭遊戲帳號。同時,在詐騙集團騙取遊戲點數時,會透過國外IP位置將點數儲值至該人頭遊戲帳號內,進而導致不知情的Amazing A32手機用戶,變成詐騙集團的人頭。

因此,這起事件除了關注產製過程被植入惡意程式,是否同時也暴露了簡訊OTP被攔截的現況,而且在臺灣就已有多個實際被害者。由於簡訊OTP的安全議題,這幾年在歐美都已經有所關注,包括2016年美國NIST發布的數位認證指導原則草案,以及2019年歐盟PSD2的規範,臺灣政府、企業可能也要持續關注這方面的議題。


Advertisement

更多 iThome相關內容