官方APP 98個有資安高風險


2017-05-08

政院全面清查144個APP

〔記者羅添斌/台北報導〕由行政院及所屬部會、機關設置的行動軟體APP,共有一四四個,但有多個官方APP因軟體設計不當,潛藏高度資安風險,行政院最新清查結果顯示,在一四四個官方APP中,僅廿個通過所有的弱點檢測項目,有廿三個被檢測出具有四至六個弱點,另有一○一個被檢測出一至三個弱點。

中旬前不改善 就下架

行政院綜合評估後認為,在這一四四個政府APP中,有九十八個具有高風險的資安弱點,已由國發會在四月底通知相關機關必須立即改善,至遲在五月中旬以前完成,否則就要立即下架;其餘評估認為具低風險及建議追蹤改善者,相關機關應於七月底以前完成現有弱點修正,以提升資安防護。

其中,被檢測出有六項資安弱點的政府APP,包括有:教育部國立科學工藝博物館(進擊的鐵克納)、經濟部台水公司(行動水管家)、交通部台鐵局(台鐵e訂通)、勞動部勞動力發展署(外籍勞工小幫手)、行政院主計總處(統計隨身GO)。

立法院內政委員會日前審查今年度中央政府總預算時決議,政府單位APP涉及公務機密資料,為了保障公務機密、民眾個資及財產安全,要求行政院應督責所屬機關單位的APP資安查核,以落實行動裝置APP資安維護,並將查核結果向內政委員會提出報告。

根據政院最新完成的清查報告指出,行政院及所屬機關截至去年十月底仍提供民眾下載使用的APP,計有七十三個機關單位、一四四個APP,政院已完成清查,並依據經濟部工業局訂定的「行動應用APP基本資安檢測基準」,擇定敏感性資料處理、連線安全及憑證有效性等十至十六個檢測項目進行檢測。

檢測結果顯示,在一四四個官方APP中,僅有二十個APP通過所有的弱點檢測項目(代表著零個弱點),但卻有二十三個APP被檢測出具有四至六個弱點,另有一○一個APP被檢測出一至三個弱點;主要問題為行動應用程式敏感性質資料儲存限制、行動應用程式資訊安全有漏洞,以及行動應用程式伺服器憑證有效性出問題等。

未來官方APP 須通過檢測才上架

對於未來要如何精進?行政院說,國發會將研修「行政院及所屬各機關行動化服務發展作業原則」,增列官方APP資安檢測規定,未來新增的官方APP都要經資安檢測通過後才能上架。經濟部工業局也將規劃適時將APP資安檢測服務納入共同供應採購契約,讓各個政府機關依需求採購APP資安檢測服務,確保政府APP資安防護。

  • 具高度資安風險的政府開發APP一覽表

    具高度資安風險的政府開發APP一覽表