數位發展部(下稱數發部)於27日召開記者會,正式對外說明高德地圖、嗶哩嗶哩(bilibili)、愛奇藝(iQIYI)及BIMOBIMO等4款中製行動應用程式(APP)的使用風險,數發部在會中提供民眾具體的資安防範原則,並嚴正提醒國人應提高警覺,以保障自身的數位與隱私安全。
★延伸閱讀★中國「高德地圖」紅綠燈倒數惹議 數發部回應了
數發部指出,根據《資通安全管理法》規定,公務機關不得下載、安裝或使用中製App,包含公務機關所配發供業務使用之手機、電腦等資通訊設備,皆須嚴格遵守規定,以確保國家資通安全。在本次檢測中,高德地圖被發現要求存取與核心功能完全無關的敏感權限,包含在App關閉狀態下對外傳輸資料、讀取使用者通訊錄等共11項風險行為。
數發部警告,若該App長期隱密蒐集使用者的地理位置及敏感個資,個人的活動軌跡、居住地、工作地點及日常行蹤將遭到分析與掌握,這不僅增加個人行蹤暴露與隱私受侵害的風險,個資還可能被犯罪集團用於詐騙。該App提供的紅綠燈倒數計時及3D街景圖等功能,可能遭交叉比對利用,藉此推測特定人士的行程與活動規律,這將直接增加政府機關首長、重要公務人員的人身安全風險;若進一步結合長期蒐集的定位與個資進行分析,更可能衍生出情報蒐集、敏感設施監控及資安滲透等國家安全風險。
除了高德地圖,嗶哩嗶哩、愛奇藝及BIMOBIMO等3款App,同樣被發現要求存取與核心功能無關的敏感權限,例如讀取使用者的行事曆、待辦事項及系統檔案儲存空間等,一旦使用者同意授權,個人檔案與裝置資訊將遭持續蒐集,使敏感資料在境外被長期儲存、再利用,甚至可能被犯罪集團用於新型態詐騙。
數發部本次檢測鎖定「讀取使用者操作行為」、「讀取其他App中的資料」、「讀取使用者裝置資訊」、「蒐集並分享使用者資料」等4大核心風險(共15項檢測項目),結果顯示,這4款App普遍存在讀取剪貼簿、影音或即時影像、麥克風權限、行事曆,以及「將資料傳輸到中國境內伺服器」等行為。
數發部特別解釋,即便使用者未明確授權,部分App仍可能利用背景程序或系統機制,在後臺持續蒐集帳號驗證資訊、通訊內容或信用卡等金融資料,進而衍生信用卡盜刷風險。此外,語音或影像資料也可能遭不當取得,被用於偽造、變造當事人影音內容,造成名譽損害。由於中國《網路安全法》及《國家情報法》規定,可要求企業將用戶資料提供給國安、公安部門,這使得使用者資訊面臨被中國政府強制調閱的極高風險。
數發部強調,個別的權限要求看似無害,但透過大數據蒐集串聯分析後,即可能構成嚴重的隱私缺口,App固然帶來表面上的便利,但國人更應注意背後的隱形風險,為了保護個人資訊安全,民眾應避免安裝或使用上述資安高風險的App,並建議採取以下三大資安防護原則:
安裝前應確認App如何蒐集、使用及傳輸個人資料,避免個資被不當利用。
授權前應確認權限與所需功能是否相符,授予權限時,建議避免選擇「使用應用程式時」,而改選「僅允許這一次」,讓每次授權都經過再次確認;並定期檢視設定,關閉不必要權限、刪除未使用App。
安裝手機資安防護軟體,以阻擋惡意App與網站,防範惡意連線與後門。
