首頁 地方 台北

數發部警告中製App風險 高德地圖等資料全回傳中國

更新:
在Android系統部分,高德地圖在15項風險項目中,被檢測出高達11項高風險項目。(翻攝數發部資安署簡報)
在Android系統部分,高德地圖在15項風險項目中,被檢測出高達11項高風險項目。(翻攝數發部資安署簡報)

【記者戴德蔓/台北報導】數位發展部5月27日公布最新檢測中國製App結果指出,包括高德地圖、嗶哩嗶哩(bilibili)、愛奇藝(iQIYI)與BIMOBIMO等4款中製App,均存在資料回傳中國境內伺服器情況,且涉及即時行為監測、讀取手機敏感資訊、背景持續蒐集資料等高風險行為。數發部警告,相關資料一旦回傳中國,在中共《網絡安全法》與《國家情報法》規範下,恐被中共國安、公安與情報單位調取,甚至流入詐騙市場,成為AI詐騙的新工具。

數發部資安署主任李昱緯數發部資安署主任李昱緯(記者戴德蔓/攝影)

資通安全署27日上午召開記者會,公布針對4款中製App的資安檢測結果,其中,高德地圖風險項目最多,Android作業系統達11項,iOS作業系統則有8項。數發部資安署主任李昱緯指出,現代人每天大量使用通訊、影音、導航、購物與社群App,看似帶來便利,但「就像冰山一樣,水面下其實藏著很多看不見的風險」,部分App會在使用者不知情情況下,讀取個人資料、手機裝置資訊、剪貼簿內容,甚至持續進行異常資料傳輸,「這些都是民眾平常看不到的風險」。

他強調,中共依照《網絡安全法》與《國家情報法》,可要求中國企業交出用戶資料,因此當資料回傳中國境內後,「就有可能被中共國國安、公安與情報部門蒐集與利用」。

這次數發部直接從Google Play與Apple App Store下載4款中國製App,並透過技術檢測方式,針對「讀取使用者操作行為」、「讀取其他App中的資料」、「讀取使用者裝置資訊」、「蒐集並分享使用者資料」等4大核心風險、共15項項目進行檢測。

數發部公布中製App資安檢測結果指出,高德地圖在iOS系統中同樣達8項高風險項目;此外,不論iOS或Android系統,高德地圖、嗶哩嗶哩、愛奇藝與BIMOBIMO等4款App皆出現「將資料傳輸至中國境內伺服器」情況,引發個資與國安疑慮。數發部公布中製App資安檢測結果指出,高德地圖在iOS系統中同樣達8項高風險項目;此外,不論iOS或Android系統,高德地圖、嗶哩嗶哩、愛奇藝與BIMOBIMO等4款App皆出現「將資料傳輸至中國境內伺服器」情況,引發個資與國安疑慮。(翻攝數發部資安署簡報)

結果顯示,風險最高的是中國導航App高德地圖。在Android版本中,高德地圖15項檢測中高達11項存在風險,包括持續讀取使用者定位、剪貼簿、影音與即時影像、麥克風權限、通訊錄、行事曆、健康紀錄、手機儲存空間、裝置識別碼,以及在App關閉後仍持續傳輸資料,並將資料回傳中國境內伺服器。iOS版本則有8項高風險項目,同樣涉及定位、影音、麥克風、通訊錄與健康紀錄等敏感資訊讀取。

數位發展部5月27日公布最新檢測4款中國製App,包括高德地圖、嗶哩嗶哩(bilibili)、愛奇藝(iQIYI)與BIMOBIMO,均存在資料回傳中國境內伺服器情況。數位發展部5月27日公布最新檢測4款中國製App,包括高德地圖、嗶哩嗶哩(bilibili)、愛奇藝(iQIYI)與BIMOBIMO,均存在資料回傳中國境內伺服器情況。(翻攝數發部資安署簡報)

李昱緯指出,高德地圖存在「過度要求權限」問題,許多存取內容與導航核心功能無直接關聯。例如,導航App卻要求讀取通訊錄、剪貼簿與健康紀錄,「這本身就不合理」,他形容,所謂跨App讀取,就像「請水電工來修水管,結果卻跑去翻你家的私人抽屜」。

數發部指出,高德地圖還會持續蒐集使用者的即時位置、歷史位置、常去地點、移動路線、停留時間與生活習慣,甚至能透過紅綠燈倒數與3D街景等功能,交叉比對推測特定人士行程與活動規律。

數發部警告,若長期蒐集並分析相關定位與個資,恐衍生情報蒐集、敏感設施監控與資安滲透等國安風險,尤其政府首長、公務員與關鍵基礎設施相關人員,更可能面臨行蹤暴露與人身安全風險。

此外,數發部也特別提到,高德地圖可能在背景持續啟用影音、即時影像與麥克風權限。李昱緯表示,若民眾在重要商業會議或政府機關場合使用手機,「商業機密可能就會被側錄」,即使只是日常與家人對話,也可能遭錄音蒐集。

更值得注意的是,資安署指出,部分App即使在使用者未明確授權下,仍可能透過背景程序持續蒐集資料,包括帳號驗證資訊、信用卡資訊與通訊內容。

數發部警告,若相關資料遭不當取得,除了可能被中共官方調閱,也可能流入不法市場,進一步成為新型AI詐騙工具,包括偽造聲音、變造影像、深偽詐騙與信用卡盜刷等風險。

至於影音平台嗶哩嗶哩與愛奇藝,數發部檢測發現,同樣會讀取剪貼簿、行事曆,並在背景持續傳輸資料至中國境內伺服器。聊天軟體BIMOBIMO則涉及讀取手機儲存空間與裝置識別碼等風險。

數發部表示,雖然個別權限要求看似無害,但當大量資料透過大數據交叉分析後,就可能拼湊出完整個人隱私輪廓。

李昱緯指出,手機裝置識別碼就像每支手機的「身分證字號」,一旦遭掌握,對方就能透過不同App與網站,串聯使用者所有上網紀錄與數位足跡。

數發部提醒,目前依《資通安全管理法》規定,公務機關不得下載、安裝或使用中製App,包括公務配發手機與電腦也全面禁止。

對一般民眾,數發部則提出3大防護原則,包括安裝前詳閱隱私政策、確認權限要求是否合理,以及定期檢查手機權限設定,並搭配資安防護工具使用。

資安署長蔡福隆資安署長蔡福隆(記者戴德蔓/攝影)

資安署長蔡福隆也建議,民眾若已安裝相關App,移除後最好重新開機,並利用防毒或資安掃描工具檢查是否仍殘留後門程式。他並提醒,下載App應盡量透過Google Play或Apple App Store等合法商店,避免安裝來源不明的APK檔,以降低遭植入惡意程式的風險。

大紀元時報 - 台灣(The Epoch Times - Taiwan)