智生活App爆16項資安漏洞 300萬人「個資裸奔」!3大風險一次看
宣稱服務遍及1萬個社區、300萬住戶的智慧社區App「智生活」(SmaDay),雖取得MAS L3最高等級資安標章,卻被消費者文教基金會與國家資通安全研究院檢測發現多達16項缺失,引發資安疑慮。消基會今(2/12)日召開「智慧居家服務,風險全都露——智生活App資安檢測結果」記者會,提醒用戶恐面臨個資外洩、金流權限遭盜取及加密資訊洩漏等風險。
智生活App由智生活科技(原今網智慧科技)股份有限公司開發,主打整合社區公告、包裹通知、繳費提醒、水電維修與居家清潔預約等功能,廣泛應用於社區大樓住戶與管委會。官方網站及App平台標示已通過MAS L3最高等級資安認證。
消基會董事長鄧惟中指出,消基會與國家資通安全研究院針對安卓版進行兩次檢測,第二次為最新送驗版本後再檢測,結果發現多達16項未通過,包括未清楚說明欲存取之敏感資料與用途、用戶登出後仍可於檔案中搜尋到手機號碼、信用卡輸入畫面未遮蔽等問題。
消基會表示,相關缺失可能導致三大風險,第一是個資外洩,由於程式碼與日誌檔未落實加密或清理,駭客可能從手機暫存資料中取得敏感資訊;第二是交易攔截,因缺乏再次驗證及防覆蓋保護機制,攻擊者可能透過偽裝介面誘導操作,或側錄輸入內容以盜取金流權限;第三則是隱私管理不足,隱私宣告不全、連線識別碼(Session)易被預測,增加帳戶遭劫持與加密資訊外洩風險。
消基會監察人卓政宏指出,在數位時代「客戶資料就是資本」,App為精準投放廣告蒐集大量用戶資料,卻未必具備足夠保護能力。部分App頻繁更新版本,送驗版本與實際使用版本未必一致,造成取得標章後缺乏持續監督的問題。他認為政府應建立動態管理與抽驗制度。
國家資通安全研究院副院長龔化中表示,App上市後仍需持續監測與修補漏洞。若在歐盟發生類似情況,業者可能面臨標章撤銷或下架與高額罰款。他強調,取得資安標章不代表永久合格,而是持續維護的起點。
消基會進一步指出,目前App資安檢測高度依賴第三方實驗室,若缺乏定期稽核與報告回溯機制,恐流於形式,建議數位發展部與制定MAS標準的台灣資通產業標準協會建立「後市場治理」機制,包括針對高風險App實施年度不定期抽測、強化實驗室課責,以及建立公開透明的漏洞通報平台,要求業者限期修補,否則撤銷資安標章。
鄧惟中也建議,消費者若想自保有3大策略,第一,於手機設定中採取「最低權限原則」,盡量減少App存取權限;第二,避免綁定高額信用卡或開啟自動儲存密碼功能;第三,定期清理App快取資料,更換手機前務必先登出再卸載,以避免敏感資料殘留。