數發部：愛奇藝等中製APP皆存資安風險 高德地圖檢出風險最多

數發部今天(27日)公布高德地圖、嗶哩嗶哩(bilibili)、愛奇藝(iQIYI)及BIMOBIMO等4款中製應用程式(APP)檢測結果發現皆有資安風險，尤其高德地圖檢出風險最多，像是要求存取與核心功能無關的敏感權限，可能涉及過度蒐集個資，增加資料外洩、行為追蹤及個資被濫用風險等，除了公務機關禁用外，也呼籲民眾審慎使用。至於民間是否禁用，數發部強調，要由各目的事業主管機關認定。

數發部從「讀取使用者操作行為」、「讀取其他APP中的資料」、「讀取使用者裝置資訊」、「蒐集並分享使用者資料」等4大使用者核心風險，針對高德地圖、嗶哩嗶哩(bilibili)、愛奇藝(iQIYI)及BIMOBIMO等4款民眾常使用的中製應用程式(APP)進行15項資安風險檢測後，發現普遍有讀取使用者的剪貼簿、影音或即時影像、麥克風權限、行事曆或待辦事項，以及將資料傳輸到中國境內伺服器等行為，並以高德地圖檢出高風險項目最多，在安卓(Android)系統檢出11項、在iOS系統則檢出8項。

數發部說明，高德地圖要求存取與核心功能無關的敏感權限，例如在關閉狀態下對外傳輸資料及讀取使用者的通訊錄等11項風險行為，若長期隱密蒐集使用者地理位置及其他敏感性個人資料，可能導致個人活動軌跡、居住地、工作地點及日常行蹤遭分析與掌握，增加個人行蹤暴露、隱私遭侵害，及個人資料遭不當利用，如被犯罪集團用於詐騙等風險。

數發部表示，高德地圖的紅綠燈倒數計時及3D街景圖等功能，也可能遭交叉比對利用，推測特定人士行程、移動軌跡及活動規律，增加政府機關首長、重要公務人員等行蹤暴露與人身安全風險；若再結合長期蒐集的定位與個人資料進行分析，更可能衍生情報蒐集、敏感設施監控及資安滲透等國家安全風險。

針對嗶哩嗶哩、愛奇藝及BIMOBIMO等3款行動應用程式，數發部也發現要求存取與核心功能無關的敏感權限，像是讀取使用者的行事曆或待辦事項及儲存空間包括系統檔案及資料等多項風險行為，若使用者同意這些APP取得權限，可能導致個人檔案與裝置資訊遭持續蒐集與識別，並使個人敏感資料於境外被長期儲存及再利用，甚至遭犯罪集團取得、用於新型態詐騙。

數發部指出，依《資通安全管理法》規定，公務機關不得下載、安裝或使用中製APP，包含公務機關配發供業務使用的手機、電腦等資通訊設備也須遵守資安法相關規定，以確保國家資通安全。至於民間是否禁用這些高風險中製APP，數發部資安署署長蔡福隆強調，要由各目的事業主管機關認定。他說：『(原音)這個還是要回歸到各目的事業主管機關，有沒有違反他們相關的法令規定，例如說國土測繪法、軍事營區安全維護條例或是個資法，像這些可能都是要由各目的事業主管機關，根據目的事業的考量，有沒有違反相關規範，數發部這邊會根據他們的相關要求，提供相關技術上的配合跟協助。』

數發部提醒民眾，安裝APP前詳閱隱私政策條款，確認權限要求合理性，並可安裝手機資安防護軟體，以阻擋惡意APP與網站，防範惡意連線與後門。

另外，對於中製APP刪除後可能留有後門一事，數發部指出，務必透過合法管道下載APP，在刪除後也建議重新開機，確保暫存記憶體已清除該程式，並可搭配資安防護軟體做掃描檢測。(編輯：宋皖媛)