來路不明廉價eSIM可能有個資外洩風險 資安署建議5大防護措施
(中央社記者趙敏雅台北28日電)eSIM具即買即用、不需更換實體卡等便利性,成為許多人出國上網首選,但也引發資安疑慮。數發部資安署表示,來路不明的低價eSIM方案,上網流量可能經過特殊地區,如中國電信商的路由,恐衍生個資外洩風險,並提醒民眾購買前確認網路來源;使用時留意手機資料是否遭竊取或異常運作等5大方式自保。
資安署表示,eSIM運作原理與傳統實體SIM卡相同,僅負責儲存電話號碼和電信網路的加密憑證,本身沒有權限讀取或下載手機內照片、聯絡人、密碼或LINE聊天紀錄等隱私資料。然而,有些過度便宜的海外旅遊eSIM,會將民眾的上網流量強制繞道至特定國家的伺服器,如中國。
資安署指出,若民眾在連線時輸入未經加密的敏感資訊,或是該國家有權限監控網路流量,上網瀏覽紀錄和未加密資料就可能被攔截。資安署進一步說,eSIM雖為加密的電信設定檔,但市面上許多eSIM方案屬於轉售性質,若為來源不明的eSIM、非電信業者的惡意供應商,恐藉機蒐集手機識別碼(IMEI)、位置軌跡與個人資料。
資安署表示,民眾若購買eSIM需搭配專屬APP開通,必須注意其索取的權限;若APP要求存取通訊錄、相簿、藍牙或定位等敏感權限,應提高警覺,並可優先透過Android Google Play或Apple App Store等官方管道下載。
為降低eSIM相關資安風險,資安署建議民眾可採取5大防護措施,首先應選擇具備商譽、有完整聯絡資訊及提供售後客服的大型平台,並向平台確認實際提供網路的境外電信事業。其次,收到eSIM安裝郵件或紙本QR Code,下載安裝完成後應立即銷毀或妥善保管,切勿傳給他人。
資安署指出,第三為在國外使用陌生網路時,確認瀏覽網站網址開頭為https://(具有鎖頭圖示),確保上網內容均被加密,防止遭中途截讀。
第四,若發現手機資料遺失、遭竊取或異常運作,如特定應用程式內對話紀錄不明原因遺失、手機上網流量異常暴增,或社群軟體等頻繁收到非本人操作的異地登入警告、驗證碼請求或密碼變更通知,應盡速關閉eSIM的行動數據、數據漫遊功能,並移除eSIM及其專屬APP。
資安署說明,民眾移除APP前可至手機設定檢視曾取得的權限,並留意是否存在異常背景活動。當APP背景運作耗電量異常偏高,或手機隱私指示燈顯示相機、定位功能正被APP於背景存取,而使用者未啟動該功能,就應關閉相關敏感權限、清除APP快取資料,完整移除APP及相關eSIM設定檔。同時,應變更重要帳號密碼與強制登出其他裝置。
資安署表示,若民眾確實有使用eSIM的需求,可選擇原生線路eSIM服務,也就是eSIM網路流量直接由旅遊當地的主要電信商進行處理與計費;換言之,民眾的手機連線會進入當地基地台並落地連上網際網路,不需繞道第3國,如香港、新加坡等。
資安署提醒,市面上多數旅遊eSIM商品屬一次性用途的電信服務,民眾確認不再使用後,應立即自手機設定中移除。資安署也強調,建議民眾優先使用國內電信業者提供的原號漫遊服務,通訊內容將以加密方式傳輸,較使用來路不明SIM卡、當地SIM卡或eSIM安全。(編輯:潘羿菁)1150628
