智生活300萬用戶恐陷資安危機 消基會檢驗16項測試不通過
〔記者黃宜靜/台北報導〕身為社區智慧服務管理的品牌,智生活能幫助住戶處理生活大小事;不過標榜有300萬住戶、通過MAS L3最高等級資安標章的App,卻在消費者文教基金會檢驗下,發現安卓最新版本(v4.13.0)竟有高達16項測試項目不通過,可能有個資外洩、交易攔截、管理缺失等風險。
消基會今日舉辦「智慧居家服務,風險全都露-智生活App資安檢測結果」記者會。董事長鄧惟中表示,智生活App是一個管理社區的軟體,提供找水電、快遞通知、公告等功能,其在官網上表示,已有取得MAS L3最高等級的資安標章。
鄧惟中指出,智慧社區App關聯到整個社區,因此資訊安全方面的需求當然也應該比個人用途的App嚴格。但消基會委託國家資通安全研究院檢測「安卓版v4.13.0」時,卻發現有16項檢驗不通過,其中9項L1、4項L2和3項L3。
16項檢驗不通過中,消基會歸納出3大資安與隱私風險,包括:用戶可能面臨個資外洩,讓駭客輕易從手機暫存中竊取用戶的敏感資訊;再來,智生活也缺乏交易時的再次驗證與防覆蓋保護,因此攻擊者可透過偽裝介面誘導入坑,或在背景側錄輸入動作,盜取金流權限;最後,由於隱私宣告不全、連線識別碼容易被預測,增加了帳戶連線被劫持的風險。
鄧惟中呼籲,在金流、個資保障不足下,若仍須使用這個App,建議使用者盡可能關掉App存取權,也不要綁定高額信用卡或開啟自動儲存密碼的功能,也應頻繁清理App快取資料。若要更換手機,先於App登出,再卸載。
消基會監察人卓政宏表示,由於智生活是免費的App,但為了能讓精準投放廣告,因此積極收集使用者各種資料,但連保護的能力都沒有,可能會有暴露資料外洩的高風險,尤其App更新版本快速,也可能出現過去檢驗合格,現在的版本卻不合格的情形,因此建議政府應從「靜態認證」轉向「動態治理」。
國家資通安全研究院副院長龔化中建議,數發部及台灣資通產業標準協會(制定MAS標準的單位)應建立抽驗與追蹤機制,針對高風險(L3 等級)App 實施年度不定期抽測,且若軟體在通過檢測後短時間內爆發重大已知漏洞,應追究實驗室檢測不實的責任。