離開
進入恐成資安「黑洞」!手機APP抽測合格率竟是0
通過資安檢測的APP,將於「行動應用資安聯盟網站」公布名稱與版本,消費者下載時將可見「行動應用資安聯盟標章」,有效時間為1年。(消保處提供)
〔記者陳宜加/台北報導〕手機APP恐藏資安黑洞!消保處抽查市面上15個熱門APP,結果基本資安項目全部未通過,合格率是驚人的0;其中,更有部分程式中發現惡意程式碼,消費者個資恐全都露。消保處提醒,由於現行法規尚未強制要求業者須通過資安檢測、並納入罰則,消費者應更加留意自保,認明APP安全標章。
消保處根據經濟部工業局去年公告的「行動應用APP基本資安檢測基準V2.1」國家標準,抽測市面15件APP應用程式,包含Andriod有10件、iOS有5件,類型涵蓋線上購物、保險、線上支付、線上訂票等,初測結果全部未通過。
檢測項目共計29項,包括行動應用程式發布安全、敏感性資料保護、付費資源控管安全、身分認證、授權與連線管理安全、行動應用程式碼安全等。消保官王德明強調,「全都是最基本的資安防護項目」,認為台灣安全意識仍太薄弱。
由於檢測結果太驚人,消保處遂與全數業者開會,並建議委由台灣電子檢驗中心免費提供教育訓練與諮詢,但經業者改善後,複測結果仍僅有7件通過,包括國泰人壽、南山人壽行動智慧網、三商美邦人壽行動夥伴、歐付寶行動支付、Hami Wallet中華電信行動通信分公司、遠傳行動客服、台灣大哥大行動客服等。
不過,複測仍未通過的8家業者,王德明表示,考量資安尚有漏洞,反而不宜公布,以免駭客乘機而入,更侵害消費者安全。但他也直言,歐美國家資安規定嚴格,台灣剛起步而尚未跟上,眼前最須加強教育消費者「個資有價」觀念。
王德明說,工業局檢測基準為參考NIST國際標準訂定,但在台灣現階段仍不是法規層級,僅為行政指導,針對APP業者尚無強制要求受測、改善或下架的公權力,未來可能修法授權並納入罰則,此前業者應自律,消費者也應留意。
工業局指出,通過資安檢測的APP,將於「行動應用資安聯盟網站」公布名稱與版本,消費者下載時將可見「行動應用資安聯盟標章」,有效時間為1年。王德明也說,檢測費用雖高昂達上萬元,但大型業者應尚有餘裕,建議主動受檢。
消保處提醒消費者,儘量下載經檢測通過的APP,使用時也應避免過度提供個人資料、定時更換密碼、避免連結至來路不明網址,確保個資不會遭到有心人士利用。目前台灣針對駭客行為已有刑責,消費者也可以透過民法規定求償自保。
