loading...
社區管理逐漸走向智慧化,消基會檢測用戶數已上萬的智生活App,不合格項目多達16項,隨時有個資外洩風險,建議消費者採權限隔離、勿開啟自動儲存密碼功能。
消費者文教基金會12日舉行「智慧居家服務,風險全都露-智生活App資安檢測結果」記者會。消基會董事長鄧惟中說明,智慧社區App將整座社區的服務放進民眾口袋,從包裹代收、繳費通知,到多元的居家清潔與家電維修預約,一站式滿足所有生活需求,是住戶的數位好管家。
其中,頗負盛名的「智生活」(SmaDay)App由智生活科技(原今網智慧科技)股份有限公司開發,官方網站宣稱用戶數已達1萬個社區、300萬住戶。
鄧惟中提到,智生活App在官網上及App Store平台上也宣傳應用軟體已通過MAS L3最高等級資安標章,希望民眾安心使用。但消基會與國家資通安全研究院對於安卓版先後進行兩次檢測,發現智生活App有16項檢測項目未通過。
消基會表示,智生活App的用戶可能有個資外洩風險,因程式碼與日誌檔未落實加密或清理,駭客可輕易從手機暫存中竊取敏感資訊;其次是交易攔截風險,因App缺乏交易時的再次驗證與防覆蓋保護,攻擊者可透過偽裝介面誘導入坑,或在背景側錄用戶的輸入動作來盜取金流權限。
消基會監察人卓政宏表示,對於系統商來說,在App沒有收費,卻又想賺錢的商業模式驅使下,「客戶的資料就成為資本」,當App用戶個資越多、越詳細,廣告主就願意投放更多廣告。但各國已陸續開始注重個資,從蒐集、儲存、利用,都有各種嚴格規範,依《個資法》規定,各公司如果想蒐集資料、就必須要有能力保護這些資料。
卓政宏表示,這個系統最大的問題是,連保護使用者個資的能力都沒有,儲存後,使用者資料暴露於個資外洩的高風險,隨時恐遭駭入。
消基會建議,若民眾需要使用智生活App,可採3個做法降低風險,首先是「權限隔離」,其次是針對「金流與交易」的防護,同時避免「敏感資料殘留」,若要更換手機,務必先在App內點擊登出,隨後卸載App。
消基會說,除了智生活App外,其他智慧社區管理的App也可能面臨同樣問題,呼籲政府與標準制定單位(如數發部、台灣資通產業標準協會)建立更完善的後市場治理架構,包括建立「抽驗與追蹤」機制、強化實驗室課責、公開透明的缺失通報等。
消基會表示,資安不應只是App上架前的一張門票,而應該是整個產品生命週期中,由開發商與檢測體系共同負擔的長期契約。◇
