為了解中國大陸廠牌資通訊設備的資安風險,台灣行政院對大陸智慧型手機和網通設備的安全性進行「黑箱檢測」(Black-Box Testing),發現小米、OPPO的手機應用,以及海康威視、浙江大華的網路攝影機,確實存在資安漏洞,恐造成公務機密外泄。行政院呼籲加緊汰換,另有立委指應修法禁用這些設備。
據《自由時報》報導,行政院資安官員表示,黑箱檢測是指「滲透測試」,專業測試單位會請專家模擬駭客攻擊模式,測試產品安全性強度,看系統是否存在資安漏洞。智慧型手機部分,國家通訊傳播委員會(NCC)委請電信技術中心執行。針對手機韌體安全、通訊安全、系統安全等項目進行檢測,並將抽測結果函告廠商,且於兩個月後就不合格項目進行複測。
複測結果結果顯示,在台灣市占率前十大智慧型手機品牌中,OPPO有一個應用未符合檢測要求,小米手機則有七個應用檢測未過,明顯存在資安疑慮;其餘蘋果、三星等手機均符合檢測要求。
此外,針對曾被被歐美國家指控用來監控新疆維吾爾人的海康威視監視器,政院也委託經濟部工業局,對海康威視,以及浙江大華技術的影像攝錄設備,就實體安全、系統安全、身分鑑別、授權機制安全、隱私權保護五大面向測試。
檢測發現,海康威視DFI6257E網路槍型攝影機和大華技術DH-IPC-HFW1230SN紅外線IP攝影機,在影像監控系統資安標準一般要求上,皆有實體異常行為、無相關警示功能、作業系統與網路服務存在資安漏洞。
同時,中國海康威視、大華技術兩款攝影機,都存在使用不安全的加密演算法、驗證碼複雜度不足等問題,產品更缺少建立外殼拆除障礙的情形。
在無人機設備方面,台灣水利機關常使用的中國深圳大疆創新科技公司所生產的無人機,經檢測共發現三款無人機皆出現受偽GPS訊號影響、敏感性資料出現於日誌檔,及行動應用程式具資訊安全弱點等情況。
行政院調查顯示,台灣至少有228個中央、地方機關、學校使用有資安風險的大陸資通訊設備。對此,行政院強調,除了要求儘速汰換相關資通訊設備,也會將使用中國大陸廠牌資通訊設備的機關,優先納為資安稽核重點對象。
行政院報告也指出,政府機關會採購中國制設備,多因價格低廉、機關經費有限、滿足設備功能需求。民進黨立委王美惠昨日受訪表示,未來應修正「政府採購法」,明文禁止公部門採購中國資通訊產品。
調查報告統計,全國有36個公務單位使用海康威視生產的影像攝錄設備;52個政府機關學校採用華為公司生產的智慧型手機、平板電腦、無線網路分享器;還有30個政府機關學校採購OPPO智慧型手機;另有17個政府機關學校使用小米集團的智慧型手機。
行政院發言人丁怡銘指出,政院公務手機是台灣品牌HTC,只能打電話、傳簡訊,無上網功能,「關鍵」資通訊產品應避免使用有資安風險的大陸產品。
