回應 36款 Android 裝置遭植入勒索病毒，原廠：不要在非授權通路購買來路不明手機

日前在 IThome 網站上的一篇報導中引用知名資安機構 CheckPoint 的報告，指出檢測的 36 款 Android 行動裝置被預載惡意程式，而在報告中表列出來的手機清單，華碩、小米、OPPO、三星、LG 都有多款裝置名列其中，包含頗熱門的華碩 Zenfone 2、LG G4、三星 Galaxy Note 5、紅米等在台灣頗為知名的手機。這篇報導在台灣並沒有引起太多的媒體注意，但因為關係到台灣許多使用者的資訊安全問題，我們還是詢問了各家大廠，並將各廠回覆進行整理。

這件事情之所以受到我們重視，是因為過去威盛電子被揭發開發留有後門程式的晶片，可以讓第三者在使用者不知情的狀況下取得裝置上的任何資料，對使用者資訊安全可說一個重大威脅。

根據 CheckPoint 的調查結果顯示，在這些被預載惡意程式中又以勒索軟體 Slocker 為感染大宗，但在分析了原廠的 ROM 後並未發現有受到任何受到感染的現象，僅能推測是在供應鏈 (supply chain) 階段受到惡意植入，不過 CheckPoint 卻對手機來源模糊交代，只說明是由某大型電信商及跨國公司手上取得，同時也並無交代測試的樣本數，因此我們對於於這個報告的結果是抱持一個大問號的心態在研究。

我們首先取得台灣小米的正式回應：

關於該篇以色列資安廠商 Check Point 及台灣某媒體轉載內容提及”預裝惡意程式”文章中，有關小米與紅米的惡意程式，經查證，我們可以確認非官方ROM裡的一部份，也就是說出廠時並沒有這2個程式，是經由第三方二次加工載入的不明程式。小米手機在台灣積極參與NCC建議的安全程式認證專案也非常注重此類安全問題，我們強烈建議消費者一定要前往小米官方授權通路購買，也避免購買已被拆封過的手機以維護自身手機通訊安全。

三星原廠對於 CheckPoint 報告也相當重視，目前已經正在調查中，目前提出簡短說明：

Samsung Electronics continuously monitors and responds to emerging security claims. We are currently reviewing the claims made by Check Point Sofware Technologies.

三星不斷監督並回應新的安全聲明，我們正積極審查由Check Point Software Technologies公司所提出的安全主張。

在經過工程單位確認之後，華碩也給予我們回應：

經過確認，該測試單位所使用的是非官方版本，原廠搭載使用的軟體版本並不包含惡意軟體，建議消費者請勿使用網路上來路不明第三方軟件。

各國手機交易市場不同，難以單一市場下定論

事實上，以目前智慧型裝置的供應鏈來看，幾乎都是採用「集中生產，全球配貨」的方式運作，除非在生產階段已經遭動過手腳 (如前述威盛事件)，否則如果原廠的 ROM 中並無這些惡意程式，感染的來源很可能就發生在最時常拆封手機的通路端。

過去台灣在智慧型手機普及度還沒有這麼高的時候，有許多通訊行為了服務客戶，會幫忙客戶透過第三方來源安裝一些 “好用 APP”，甚至在手機還沒售出之前就已經先幫忙預裝好。目前因為人們使用的程度變高，手機廠保固的條件也不同，已經鮮少有通訊行幫消費者做這件事情，但每個國家的情況並不同，CheckPoint 也很有可能在這個情況下買到被通路植入惡意程式的手機，才會導致這樣的情況發生。

如果您真的對於智慧手機一竅不通，需要店員幫忙安裝 APP 的話，建議您務必在店員旁邊，並確保店員安裝的每一個 APP 都來自於 Google Play，嚴格禁止店員透過網路或 USB 安裝任何 APP 到手機中，就可以避免被安裝惡意程式。

而此次 CheckPoint 的報告因為對於樣本取得來源、取得數量及驗證方法等細節並未交代，媒體在引用其報告時也未盡查證的責任，也可能造成讀者誤解，並不是件好事。

CheckPoint檢測受影響的裝置及有害軟體名稱