由台灣大哥大推出的自有品牌手機「Amazing A32」,在去年下半被警調單位發現,手機於生產階段就被暗中植入了惡意程式,使得詐騙集團可將用戶門號作為遊戲點數詐騙的人頭帳號,已有多位無辜民眾因此收到全臺警局與地檢署通知單,他們都被控告詐欺。不過,這起事件其實在2020年10月就曾曝光,只是當時未有業者出面說明。

早在2020年10月17日,TVBS東森等電視媒體都有相關報導,隔日平面媒體自由時報也跟進,只是,當時警方並未揭露是何款掛上臺灣品牌的中國製白牌手機有問題,僅提到電信業者,但當時也並未有業者出面回應。

2021年初揭開謎底,台灣大哥大就是出事手機提供者

直到2021年1月6日,國家通訊傳播委員會(NCC)、台灣大哥大,各自發布相關公告。在NCC發布的聲明中,明確指出台灣大哥大的自有品牌Amazing A32手機,就是在產製階段遭植入惡意程式的手機,並表示這次事件凸顯相關大陸白牌手機帶來的資安議題,因此未來他們將進一步要求,需符合資安標準及納入年度抽測。同日,台灣大哥大宣布,全面召回這些有問題的手機,其合作廠商「力平國際」已釋出新版2.0作業系統,將協助用戶進行安全性軟體升級。

不僅如此,刑事警察局也在1月6日召開記者會,揭露這次案件的偵辦經過,他們是從半年前接獲民眾陳情開始,察覺被害人都是年長者,進而追蹤調查與分析。

值得關注的是,在這起事件下,不只是詐騙集團與黑色產業進而引發的社會事件,以及中國製白牌手機帶來的資安疑慮,行動業者自家產品委外代工的資安品管挑戰,我們還注意到一個容易被外界忽略的焦點,就是簡訊OTP遭攔截的事件,已經在臺灣發生,相關安全隱憂也很值得重視。

NCC表示,由於這款手機遭植惡意程式,因此攻擊者可竊取該手機所使用的門號資訊,利用來向遊戲公司申請遊戲帳號,同時又攔截遊戲公司傳到該門號的簡訊OTP認證碼。因此,他們已經要求台灣大哥大,需盡速釐清事件發生的主要原因,並依消費者保護法及電信管理法相關規定,儘速善後補救。同時,NCC特別指出,這次事件凸顯中國製白牌手機的資安議題,因此他們日後,針對此類以臺灣品牌銷售的中國白牌手機,將會採更嚴格的管理措施。

是否還有其他白牌手機受影響?國家通訊傳播委員會副處長吳銘仁表示,他們是在2020年11月接獲刑事警察局情資,進而得知Amazing A32手機存在資安疑慮,在產品生產階段即被植入惡意程式,之後他們也著手檢測這款手機,同時通知台灣大哥大儘速處理。

吳銘仁表示,NCC在2020年就針對市售手機,進行年度資安抽測作業,在得知此一情資後,他們也額外檢測該款手機,以及其他電信業者自有品牌手機。所幸,調查結果中,在其他自有品牌手機,並沒有發現類似情事。

另一方面,關於台灣大哥大在此事件的資安應變上,是否得知此一情況時,就將Amazing A32下架,並進行資安事件調查,以及委外代工資安品管過程檢討?

對此,台灣大哥大僅向我們答覆,該款手機2018年4月上市,在2020年7月已經下架,這意味著,在事件傳出時,消費者已經不會在通路上買到該產品。但對於其他爭議,他們則表示,以聲明稿為主,並基於遵守偵查不公開原則,不便回應案情。

而在台灣大哥大1月6日的聲明稿中,提及他們發現該款手機的資安疑慮後,已有相關處置動作。包括:封鎖海外7個惡意IP位址,並要求負責產製這款手機的臺灣廠商「力平國際」,開發新版2.0作業系統,以及再次清查「力平國際」生產的所有Amazing貼牌手機,他們查出,僅A32委由中國廠商華瓏公司代工,因而產生此資安疑慮,至於其他Amazing機型,則沒有相關問題。

現在,他們已經釋出該款手機的2.0版更新程式,供用戶在台灣大哥大官方網站下載,同時也建議用戶,可前往直營或加盟門市,由專人協助系統程式的更新升級。

2020年下半就有受害者,許多年長者淪為詐騙人頭

關於這起事件的調查經過,我們詢問最先偵辦此案的刑事警察局,根據該單位提供的說明,他們旗下打擊詐欺犯罪中心之所以偵辦,起先是在2020年7月接獲兩件民眾陳情,他們因為遊戲點數詐騙案件,收到地檢署通知單。由於這兩起案件當事人為50多歲與70多歲,因此警方察覺案情有異、不單純,於是展開關連式分析,接著在2020年8月共收集了48起案件,發現其共通特性,都是使用同一個廠牌的手機,因此繼而報請檢察官指揮調查,並在2020年9月,交由刑事警察局研發科進行數位鑑識,進而發現手機遭植入木馬,之後並依相關規定通報NCC。

後續,這起事件在2020年10月17日曝光,只是,當時警方並未揭露是品牌型號手機有問題,而當時也並未有業者出面回應。

A32手機售出達9萬支,影響用戶數恐不只2百人

只是,在這次事件相關脈絡整理之下,上述台灣大哥大的資安事件應變作法,也成為許多企業都在關注的焦點。

然而,我們可以發現,自從2020年10月有相關消息傳出,在這將近兩個月期間,台灣大哥大並未公布自家產品遭駭,未發布資安事件公告,也沒有及早通知用戶因應處理,也沒有出面回收手機,至到今年1月6日,才與NCC同日發布聲明。

更值得關注的是,在這次事件中,影響的用戶數量相當多。雖然台灣大哥大公布了影響範圍,指出Amazing A32共銷售出94,191支,現今仍使用台灣大哥大門號與該款手機的用戶數,也有7,557人,同時表示受影響用戶數約200人,不過,實際受害人數真是如此嗎?

例如,上述「受影響用戶數約200人」,所謂的影響並未清楚定義,是指業者已知被作為遊詐騙人頭帳號的人數?我們後續也已再次求證,目前台灣大哥大尚未回覆。

我們認為,受害者規模還可能更大。理由一,有些涉及遊戲點數詐騙案的手機用戶,可能還沒有向台灣大哥大申訴;理由二:有些這款手機用戶可能更換為別家電信業者門號,甚至曾使用多個SIM卡門號於這款手機;理由三,是否手機用戶已被註冊詐騙人頭帳號,但因為還沒被詐騙集團利用,所以受害者還不知情。而且,也不能排除還有其他更多犯行。

無論如何,這次台灣大哥大手機的事件,已經提醒所有企業,需重視產品安全,特別又是牽扯到合作夥伴與委外供應鏈的管理,甚至還造成廣大用戶面對刑事案件。

另一方面,對於被當成詐騙人頭帳號的用戶而言,因為購買與使用出廠即內建惡意程式的手機,後續是否能有法律上的求償,也成社會關心焦點。

而對於消費者而言,也可以重新省思,買手機時也要有資安意識,要關注產品品質,也需要注意資訊安全,而且不只是關注作業系統,也要留意內建App。許多人都想以更低成本買到手機,這是人之常情,而業者也因應這樣的需求,引進了中國製白牌手機,提供了低價位產品的選項,但如此一來,雙方是否都容易忽略了需考量資訊安全。

 系列報導2  Amazing A32手機用戶捲入遊戲點數詐騙案,淪為人頭帳戶,需跑全臺警局說明

 系列報導3  臺電信品牌手機遭駭事件的4大資安教訓

熱門新聞


Advertisement