資安注意/ 台哥大銷售的「Amazing A32」發現資安漏洞 業者已提供召回措施及補救軟體升級

資安注意/ 台哥大銷售的「Amazing A32」發現資安漏洞  業者已提供召回措施及補救軟體升級
今日(1/6)NCC揭露,根據刑事警察局提供的資訊顯示,由台哥大銷售的Aamazing A32手機特定版本,內建軟體在製程中,被暗中植入惡意程式,詐騙集團可利用手機門號,向遊戲公司申請遊戲帳號,遊戲公司傳送遊戲認證碼簡訊到該門號時,簡訊同時回傳給詐騙集團,並申辦完成遊戲帳號(即人頭遊戲帳號)後自動刪除;讓詐騙集團騙取遊戲點數,以海外IP將點數儲值至該人頭遊戲帳號內,用戶在不知情的狀況下,成為詐騙集團的人頭,因此責成台哥大做善後處理。

台哥大針對此事也做出回應,將與手機生產商「力平國際公司」合作,全力協助用戶,即日起提供手機升級至最新的V2.0版軟體本來修正。
 
台哥大表示,本次「Amazing A32」手機所提供的V2.0版升級軟體,已經財團法人電信技術中心(TTC)認證,依照台灣資通產業標準協會(TAICS)所公布的《智慧型手機系統內建軟體資安標準》,符合第一級資安檢測項目要求。

即日起手機用戶有兩種方法可以更新,一是透過台哥大網站下載V2.0版更新程式。二是可前往台哥大各直營門市(1/8起可至加盟門市辦理),由專人協助進行系統程式更新。

如果有任何疑問,也可撥打專線電話,以手機直撥188或撥打0809-000-852(免付費專線)/02-66062999,按選項5,由客服人員協助處理。
升級及處理資訊也可參考官網
https://www.taiwanmobile.com/events/A32/index.html

台哥大說明,「Amazing A32」是2018年4月4日推出的4G手機,在去年七月5G開台後已經下架不再銷售。
Amazing A32為貼牌產品,由台哥大授權台灣廠商「力平國際」使用Amazing商標生產,該款手機的設計、生產、製造及送驗檢測,皆由「力平國際」負責。而力平國際所生產的Aamazing 手機,僅有A32是由中國廠商華瓏公司代工,因而產生此資安疑慮,其他同品牌機種則沒有相關問題。
且「Amazing A32」當時入關已通過檢驗,也取得型式認證後,才在台哥大上架銷售。

A32包含使用中、尚未售出、已淘汰或未使用數量共9萬餘支;截至109年12月20日止,使用台哥大門號的A32用戶數為7,557人,其餘可能仍有攜碼用戶,NCC已令台灣大哥大立即清查並通知所有持有者並全責善後處理。
 
NCC在收到刑事局通知後,就針對A32做手機軟體檢測,並要求力平國際立即開發新軟體改善,當時基於偵查不公開原則,台哥大已陸續先以客服致電用戶,協助更新或更換其他機種,據了解已有1,337門用戶處理完畢。

NCC透過這次事件,提醒消費者注意大陸白牌手機的資安議題。NCC提到,他們已針對大陸白牌手機採行兩項措施:
 
一、行動業者自有品牌手機在大陸製造者,須符合資安標準才可販售。
意即業者在申請這類手機的硬體型式認證時,應提出符合TAICS發布的「智慧型手機系統內建軟體資安標準」之證明,且針對手機一旦發生資安事件,需切結補救措施,並確實對用戶揭露相關資訊。


二、大陸品牌手機、行動業者自有品牌陸製手機,將納入年度抽測標的。
NCC將會把大陸品牌、陸製貼牌手機納入年度抽檢,抽測結果不符合產業資安標準者,將要求手機製造商或業者儘速改善。
 
而消費者端,通常貼牌手機有低價誘因,NCC也提醒民眾選購手機時除考慮手機價格外,也要有個人資料保護意識,以免因小失大。
不過消費者可能認為既有電信業者代理,應該是有保障的,這方面需要負責銷售的業者,確實去做資安檢測,以及關注廠商是否會持續做安全更新維護。

但有的消費者可能根本不知道自己買到的是白牌機,除了不購買來源不明的手機、警覺太便宜可能有問題外,NCC也提供消費者使用手機的「三不五要」原則,小心保護手機裡的個人資訊安全。
資安注意/ 台哥大銷售的「Amazing A32」發現資安漏洞  業者已提供召回措施及補救軟體升級


#也要睜大眼睛看是不是山寨產品
你才廣告你全家都廣告
應該要賠全新手機送蘋果愛瘋才有誠意
只召回升級軟韌體而已
還真沒誠意不負責任
別說這些用戶被犯罪集團利用個資損失
對台哥大業者商譽信心還會有顧客相信嗎
那些買該手機顧客提起團體訴訟提告也是應當
會用這系列手機的客群
可能連自己手機的
型號都不清楚吧
請大家多多關懷身旁的
親朋好友拿什麼手機
好久之前的手機了,拿過也可能都忘了
根據偵辦經驗,使用這款手機用戶多半是長輩,訴求簡單好用。自己是台灣大哥大用戶,但也是在靜看台哥大公司會如何處理這後續。也好奇這是廠商問題還是推給駭客。

心想全面召回作法會如何採取,
是發送簡訊給該手機用戶、還是打電話給這些用戶?但用此手機多半為年長者,傳簡訊打電話給他們根本聽不懂。傳喚說明的每個人都瞠目結舌,其中不乏醫師。對小弟來說如何採取有效作法來杜止新被害人產生是值得關注的後續。

至於透過更新能否杜止是類案件發生仍然不得而知,因為目前也尚無法得知究竟是晶片寫入還是程式內碼的問題,這也是最好奇的一件事,還有請各位3C大哥大姐們分享。

案例:
根據被害人提供之資料,手機買來根本無設定root,也不知如何設定。但是會收到對岸比如+86139xxxxxxxx*258 等類似簡訊,內容「滴滴叫車」等待查證真實性之簡訊,收到簡訊並未開啟連結,且自己還要負擔這筆簡訊費用。

案件最弔詭的是,用戶完全沒做任何操作,背後的嫌犯就能用一組海外IP、並透過用戶的門號和163.com信箱(註冊機器人)來註冊一個遊戲帳號。

遊戲帳號註冊人資料看起來像是
09xxxxxxxx、亂數@163.com、註冊ip為海外。
小弟假設,如果傳入手機內的這則簡訊是啟動回傳的機制,那這究竟要基於晶片還是程式上的設計才有辦法辦到,或是有其他可能性?

說了好像沒錯一樣😂
手機排版見諒🙏
渡邊純一 wrote:
應該要賠全新手機送蘋(恕刪)
這在美國,消費者可能告上電信公司,

在台哥大不當一回事,隨便 $1000 就想打發消費者.
Nanako0625 wrote:
今日(1/6)NCC...(恕刪)

看來所有大陸品牌躺著也要中槍了!!
政治話題又要鬧了,繼續炒冷飯樂此不疲啊

其實這種雜牌小牌貼牌零元机,很早以前就已經被警告有木马病毒了?但是贪便宜沒知識又不学常識的人實在还是大有人在,电信商也贪图,奉勸另外那兩家也查一查吧。
NCC 髒CC
當初也是NCC貼上合格標籤
現在也不認錯
錯的都是台灣人自己愛買
這樣真的是愛台灣嗎??
Bestman1069 wrote:
NCC 髒CC
當初也是NCC貼上合格標籤
現在也不認錯
錯的都是台灣人自己愛買
這樣真的是愛台灣嗎??


NCC的合格是指電磁波功率之類的基礎規則,如果要把軟硬體中被藏後門、木馬這種事算在檢驗標準的話,以後估計沒有任何手機可以審得過了,因為這涉及到深度資安問題,那就沒有任何人敢保證自己的檢驗手段不會查不到更高階的木馬…,到時只會是公務員不敢再蓋這合格章,市場上再無新機可推出而已,甚至舊機的合格章通通撤消…

所以…還想帶風向?
這種便宜手機還有一個用途...拿來當4G分享器用
最早以前我就用Amazing X1(非A32) 搭老筆電,當4G分享器
我這支差不多是4G剛開台出的,比A32更早出
這樣就能拉出RJ45有線網路,分享給多台桌機電腦使用
那時還在用中華的全能平板吃到飽,那時還沒有4G分享器,所以這樣做
關閉廣告
文章分享
評分
複製連結

今日熱門文章 網友點擊推薦!