智生活App爆16項資安漏洞 300萬用戶恐個資外洩、交易遭駭客攔截
記者許敏溶/台北報導
宣稱用戶數達300萬住戶的「智生活App」,今(12日)遭消基會指出,經送國家資通安全研究院檢測,竟高達16項不合格,涵蓋「個資外洩、交易攔截、管理缺失」等3大類資安與隱私風險,衍生駭客可輕易竊取用戶敏感資訊等問題。消基會提醒用戶不要綁定高額信用卡,也呼籲政府建立更完善的後市場治理架構。
為打造智慧社區,不少廠商開發出非常便利的手機App,提供住戶和社區大樓管委會成員使用。其中「智生活(SmaDay)App」由智生活科技(原今網智慧科技)公司開發,在官方網站宣稱用戶數已達1萬個社區、300萬住戶,更宣稱應用軟體已經通過MAS L3最高等級資安標章。
不過,消基會今天召開記者會指出,將智生活App的安卓版送到國家資通安全研究院進行兩次檢測,發現智生活App高達16項檢測未通過,包括9項L1(最低等級)、4項L2和3項L3項目不通過。
消基金會董事長鄧惟中指出,檢測16項不合格涵蓋「個資外洩、交易攔截、管理缺失」等3大類資安與隱私風險。在「個資外洩」部分,由於程式碼與日誌檔未落實加密或清理,駭客可輕易從手機暫存中竊取敏感資訊;在「交易攔截」部分,因缺乏交易時的再次驗證與防覆蓋保護,攻擊者可透過偽裝介面誘導入坑,或在背景側錄用戶的輸入動作來盜取金流權限;至於「管理缺失」,因為隱私宣告不全且連線識別碼(Session)容易被預測,增加帳戶連線被劫持的風險。
消基會監察人卓政宏分析,「智生活App」的商業模式沒收費,但又想賺錢,所以透過蒐集客戶個資來進一步利用,讓廣告主願意投資,但該公司要蒐集個資,卻連儲存與保護能力都沒有,就可能產生資安風險,「這件事蠻嚴重的!」他呼籲政府要以動態方式進行管理,而且政府對洩漏個資沒有嚴重罰則,這是非常離譜的。
因此,鄧惟中提醒用戶,不綁定高額信用卡,也不要開啟自動儲存密碼功能,提高對「金流與交易」的防護,並頻繁清理該App的「快取資料」,避免「敏感資料殘留」,以及盡可能最低限度的打開該App的存取權。
對於數發部等政府與標準制定單位,消基會呼籲建立更完善的後市場治理架構,包括針對高風險(L3 等級)App 實施年度不定期抽測,並強化實驗室課責,若App 在通過檢測後短時間內爆發重大已知漏洞,應追究實驗室檢測不實之責,還有建立類似 CVE 的「App 漏洞通報平台」,強制開發商在時限內修復並公告,否則應撤銷其資安標章。