为了解中国大陆厂牌资通讯设备的资安风险,台湾行政院对大陆智慧型手机和网通设备的安全性进行“黑箱检测”(Black-Box Testing),发现小米、OPPO的手机应用,以及海康威视、浙江大华的网路摄影机,确实存在资安漏洞,恐造成公务机密外泄。行政院呼吁加紧汰换,另有立委指应修法禁用这些设备。
据《自由时报》报道,行政院资安官员表示,黑箱检测是指“渗透测试”,专业测试单位会请专家模拟骇客攻击模式,测试产品安全性强度,看系统是否存在资安漏洞。智慧型手机部分,国家通讯传播委员会(NCC)委请电信技术中心执行。针对手机韧体安全、通讯安全、系统安全等项目进行检测,并将抽测结果函告厂商,且于两个月后就不合格项目进行复测。
复测结果结果显示,在台湾市占率前十大智慧型手机品牌中,OPPO有一个应用未符合检测要求,小米手机则有七个应用检测未过,明显存在资安疑虑;其余苹果、三星等手机均符合检测要求。
此外,针对曾被被欧美国家指控用来监控新疆维吾尔人的海康威视监视器,政院也委托经济部工业局,对海康威视,以及浙江大华技术的影像摄录设备,就实体安全、系统安全、身分鉴别、授权机制安全、隐私权保护五大面向测试。
检测发现,海康威视DFI 6257E网路枪型摄影机和大华技术DH-IPC-HFW1230SN红外线IP摄影机,在影像监控系统资安标准一般要求上,皆有实体异常行为、无相关警示功能、作业系统与网路服务存在资安漏洞。
同时,中国海康威视、大华技术两款摄影机,都存在使用不安全的加密演算法、验证码复杂度不足等问题,产品更缺少建立外壳拆除障碍的情形。
在无人机设备方面,台湾水利机关常使用的中国深圳大疆创新科技公司所生产的无人机,经检测共发现三款无人机皆出现受伪GPS讯号影响、敏感性资料出现于日志档,及行动应用程式具资讯安全弱点等情况。
行政院调查显示,台湾至少有228个中央、地方机关、学校使用有资安风险的大陆资通讯设备。对此,行政院强调,除了要求尽速汰换相关资通讯设备,也会将使用中国大陆厂牌资通讯设备的机关,优先纳为资安稽核重点对象。
行政院报告也指出,政府机关会采购中国制设备,多因价格低廉、机关经费有限、满足设备功能需求。民进党立委王美惠昨日受访表示,未来应修正“政府采购法”,明文禁止公部门采购中国资通讯产品。
调查报告统计,全国有36个公务单位使用海康威视生产的影像摄录设备;52个政府机关学校采用华为公司生产的智慧型手机、平板电脑、无线网路分享器;还有30个政府机关学校采购OPPO智慧型手机;另有17个政府机关学校使用小米集团的智慧型手机。
行政院发言人丁怡铭指出,政院公务手机是台湾品牌HTC,只能打电话、传简讯,无上网功能,“关键”资通讯产品应避免使用有资安风险的大陆产品。
0
