粉絲團
在Android系統部分,高德地圖在15項風險項目中,被檢測出高達11項高風險項目。(截自簡報)
〔記者邱巧貞/台北報導〕中國導航App「高德地圖」近期在台灣引發資安爭議,數位發展部今(27)日召開記者會,公布中國製App資安檢測結果。
資通安全署(下稱資安署)署長蔡福隆表示,行政院早在4月底院會後記者會中,就已針對高德地圖可能涉及的資安風險進行說明,並由國家資通安全研究院針對相關App展開檢測。此次除高德地圖外,也同步檢測影音平台「嗶哩嗶哩(bilibili,簡稱B站)」、「愛奇藝(iQIYI)」及聊天軟體「BIMOBIMO」等4款中國製行動應用程式(App)。
資安署主任李昱緯指出,現代人日常生活中,廣泛使用通訊、影音、交友與購物等各式App,雖然帶來便利,但背後其實隱藏許多看不見的風險。他形容,這些風險就像冰山一樣,表面看似正常,但水面下可能存在大量隱藏問題,包括在使用者不知情情況下,讀取個人資料、手機裝置資訊、剪貼簿內容,甚至異常傳輸相關資訊。
因此,數發部進一步針對中國製App進行相關檢測。為了真實反映民眾可能面臨的資安威脅,這次採取客觀技術檢測方式,直接從Google Play與Apple App Store等官方平台下載民眾常用的中國製App進行測試。
本次檢測涵蓋「4大核心風險」與「15項檢測項目」,希望揭露相關資安風險,提醒民眾盡量避免使用高風險App。
在iOS系統部分,高德地圖同樣達到8項高風險項目,此外,不論是iOS或Android系統,這4款App都出現共同情況,就是會「將資料傳輸至中國境內伺服器」。(截自簡報)
首先是「讀取使用者操作行為」,也就是即時行為監測,共包含5項檢測內容,像是檢測App是否持續讀取使用者定位資訊、偷偷讀取剪貼簿與螢幕資訊,甚至在使用者不知情的情況下,啟用影音、攝影機與麥克風等權限。相關檢測項目包括:
1.持續讀取使用者的地理位置
2.讀取使用者的剪貼簿
3.讀取使用者的螢幕資訊
4.讀取使用者的影音或即時影像
5.讀取使用者的麥克風權限
第二大核心風險則是「讀取其他App中的資料」,也就是跨App資訊存取,共4項檢測內容。李昱緯舉例,這就像請水電師傅到家裡修水管,結果對方卻跑去翻私人抽屜,顯然不合理。相關檢測項目包括:
6. 讀取使用者的通訊錄
7. 讀取使用者的簡訊、通話紀錄或通知內容
8. 讀取使用者的行事曆或待辦事項
9. 讀取使用者的健康紀錄
第三大風險則是「讀取使用者裝置資訊」,共包括3項內容,會檢測App是否掃描裝置儲存空間、查看使用者慣用哪些應用程式,甚至讀取裝置識別碼。李昱緯指出,裝置識別碼就像手機獨一無二的「身分證字號」,一旦遭掌握,對方就可能透過不同軟體與網站,串聯使用者的上網紀錄,進一步拼湊出完整的隱私輪廓。相關檢測項目包括:
10. 讀取使用者的儲存空間(系統檔案及資料)
11. 讀取使用者的應用程式清單
12. 讀取使用者裝置的識別碼
第四項也是最關鍵的一環,則是「蒐集並分享使用者資料」,也就是資料傳輸及分享,共3項檢測內容,會檢測App是否在關閉狀態下仍持續對外傳輸資料、甚至將資料傳輸至中國境內伺服器。相關檢測項目包括:
13. 於關閉狀態下對外傳輸資料
14. 分享資料給其他已遭駭客利用之中繼站或伺服器
15. 將資料傳輸到中國境內伺服器
數發部強調,未來仍會持續針對國人常用、風險較高的App進行定期檢測,並透過新聞稿與記者會等方式,公布相關結果與風險資訊,提醒民眾提高警覺。
一手掌握經濟脈動 點我訂閱自由財經Youtube頻道
不用抽 不用搶 現在用APP看新聞 保證天天中獎 點我下載APP 按我看活動辦法
