離開
進入小心手機資安! 中國爆多款App具備監聽能力
資策會提醒用戶,安裝App時務必留意應用授權。(記者譚偉晟攝)
〔記者譚偉晟/台北報導〕中國江蘇省消費者協會在8月23日公布調查報告,目前有大量手機App會在未經用戶同意的情況下獲取個人資訊,甚至具備監聽能力。對此,資策會提醒民眾,由於App的架構是相同的,應該留意App取用權限是否存在「過度授權」問題,避免一旦App漏洞遭惡意人士破解時,民眾手機內的個人資訊可能會遭竊用。
根據《中央社》的報導指出,在中國江蘇省消費者協會的調查中,100個App內有79個可獲得定位權限,其中更有14個具備能監聽與掛斷電話能力。
報告提到,許多App權限的獲取方式都沒有經過用戶授權,像是愛奇藝App在安裝時,就會直接獲取定位、手機資訊、日曆、相機、錄音、讀寫手機記憶體、系統設置、背景彈出介面等項目進行勾選,在部分手機上用戶根本無法進行權限管理。
對此,資策會資安科技研究所組長毛敬豪說,這可以說是智慧型手機推出以來一直存在的問題。開發團隊設計App時,不太會考慮獲取權限對用戶資料安全的影響,因此,都會盡可能讓App取得最多的授權項目。但隨著資安意識的提升,民眾應該要考慮到App的服務內容和獲取的權限,是否存在「過度授權」問題,否則可能會提高重要個資外洩的風險。
過去常出現一個手電筒App就要求位置、通訊錄、相機、簡訊、錄音、甚至連線能力等權限狀況,毛敬豪提醒手機用戶,應該要去思考,即便這個App目前獲取這些權限不會影響到個資安全,但若是App存在漏洞,導致授權項目成為駭客竊取個資的管道,就會是很危險的事情。
資安業者趨勢科技則建議民眾,手機應安裝安全防護應用程式,協助進行App行為偵測,一旦發現有App存在惡意行為時,就應該立刻刪除這類App。此外,也應該養成不要在非官方平台下載App,以及定期更新App的習慣,確保手機App的安全能力足夠。
愛奇藝台灣站:App不會自動開啟應用程式權限
另一方面,對於中國消費者協會的報告提到愛奇藝App自動獲取權限的問題,愛奇藝台灣站回應說,「經技術測試結果,愛奇藝台灣站App並不會自動開啟應用程式權限」,並強調在未經用戶同意前,不會取得用戶個資。
為了協助台灣民眾提升手機使用的安全性,國家通訊傳播委員會NCC在今年3月公告「智慧型手機系統內建軟體資通安全檢測技術規範」,要求在台灣上市販售的手機都必須檢測「出廠預載軟體」、「銷售商加載軟體」、「無圖示軟體」這三個項目,確保使用者資料,不會被系統內建的App在未經授權情況下偷偷蒐集分享,進行不當使用,甚至是資料竄改。
資策會也在持續推動「行動應用App基本資安規範」,透過在網站上提供民眾查詢App安全等級的方式,讓民眾可以認識手機內App的安全程度。不過,由於規範採自願的方式進行,只能對主動送審的App進行安全審查。至於其他遍布在Google Play和App Store的大量App,台灣民眾仍得多加留意在安裝時的功能授權,以及App在安全上的評價是否足夠。
