隨著智慧型手機普及,人人手機不離身,手機上儲存敏感性資料、個資情形相當普遍,若下載的APP存有資安漏洞,恐會影響用戶隱私及個人權益。日前消保處依據經濟部工業局公告的「行動應用App基本資安檢測基準V2.1」規範進行抽查,抽測市面上15個APP的基本資安檢測的初測結果居然全數資安0合格,複測後也只有7件通過,讓單純下載APP程式的行為變成很大的資安漏洞。
消保處抽查手機APP的結果是什麼呢? 經濟部工業局公告的「行動應用App基本資安檢測基準V2.1」規範為何呢? 以下作一說明:
掌握最新電信資費訊息,請加入小丰子3C俱樂部粉絲頁!
1.消保處抽查手機APP的結果:
消保處依據經濟部工業局公告的「行動應用App基本資安檢測基準V2.1」規範進行抽查,檢測項目包括有,行動應用程式發布安全、敏感性資料保護、付費資源控管安全、身分認證、授權與連線管理安全、行動應用程式碼安全等。消保處分別在Andriod、iOS兩大系統平台下載10個、5個APP,類別含蓋線上購物類6件、保險業類3件、線上支付類4件及線上訂票類2件,初測抽測共15件App全數未通過,資安0合格 ! 經複測後,也僅國泰人壽(Android)、南山人壽行動智慧網(Android)、三商美邦人壽行動夥伴(iOS)、歐付寶行動支付(iOS)、Hami Wallet中華電信行動通信分公司(Android)、遠傳行動客服(Android)、台灣大哥大行動客服(Android)共7件通過檢測。
至於未通過的八個App業者,消保處表示因考量仍有資安漏洞不宜公布,避免駭客乘機而入。
2.「行動應用App基本資安檢測基準」規範為何呢?
「經濟部工業局」基於行動應用App軟體個人及敏感性資料保護等資訊安全議題需要及兼顧產業發展,於民國103年開始推動行動應用App基本資安檢測制度,106年9月正式辦理「行動應用App基本資安標章」申請作業,107年「經濟部工業局」委託「財團法人資訊工業策進會」並協同「中華民國資訊安全學會」為執行單位,修訂「行動應用App基本資安檢測基準」、「行動應用App基本資安規範」及「行動應用App基本資安自主檢測推動制度」。
若送檢測之App業者經由「行動應用App基本資安檢測實驗室」依據經濟部工業局公告的「行動應用App基本資安檢測基準V2.1」進行檢測作業,並通過安全等級所須項目,取得檢測報告及「行動應用App基本資安檢測合格證明」。欲申請「行動應用App基本資安標章」 (Mobile Application Basic Security,MAS標章),則由送測單位(App開發者)向「行動應用資安聯盟」下所設「行動應用資安制度推動委員會」辦理相關申請作業。
「行動應用App基本資安標章」依檢測基準安全等級分成初級、中級及高級的行動應用App基本資安標章」,若測試合格就會授與通過的標章。
檢測通過的App業者會在「行動應用資安聯盟網站」公布App名稱及版本,若日後抽測被發現不合格也會被撤銷,而行動應用資安聯盟標章的有效時間為1年。
由於現行法規對App業者沒有要求受測、改善或下架的公權力,純粹是APP業者自主性花錢送測。目前通過測試的APP名單大都是台灣政府機構、官股及本土銀行及少數的台灣企業(如電信三雄…)或是電商業者(如PC Home、歐付寶..)..等等,一般民眾較常下載的境外APP業者基本上都不會花錢送測自找麻煩。然而由這次消保處抽查手機APP結果為0合格,加上很多境外APP惡意竊取不知情用戶個資益惡名昭彰防不勝防,日前vivo發表可以自動升級相機鏡頭的NEX手機意外被網友發現可以成為「偵測惡意程式」! XDDD。
是故,為了保護自己的個資,如果下載沒有檢測通過的App,要避免過度提供個人資料或開放無謂的權限;若下載的APP有支援線上支付功能者,更要定時更換密碼,以確保個資不會遭有心人士使用或搜集。
圖片來源: 網路