數位發展部今(27)日召開記者會說明高德地圖等4款中製APP的風險檢測結果,除了高德地圖外,還包括:嗶哩嗶哩(bilibili)、愛奇藝(iQIYI)及聊天軟體造BIMOBIMO等,都被發現其會存取與核心功能無關的敏感權限。
數發部資安署指出,中國依照網路安全法、國家情報法規定,可要求企業把用戶資料提供給公部門,倘若資料外洩或流入不法市場,就可能被犯罪集團使用。數發部這次APP檢測包括四大核心範圍,包括:即時行為監測、跨APP資訊存取、擷取系統資訊及資料傳輸及分享等,共有15項檢測項目。
現正最夯:高雄明星國小教師墜樓身亡 教育局:勿出現群眾獵巫情形
數發部發現,高德地圖App要求存取與核心功能無關的敏感權限,例如:在關閉狀態下,對外傳輸資料及讀取使用者的通訊錄等11項風險行為。若該App長期隱密蒐集使用者地理位置及其他敏感性個人資料,可能進一步導致個人活動軌跡、居住地、工作地點及日常行蹤遭分析與掌握。其所提供的紅綠燈倒數計時及3D街景圖等功能,也可能遭交叉比對利用,推測特定人士的行程、移動軌跡及活動規律,若再結合長期蒐集之定位與個人資料進行分析,更可能衍生情報蒐集、敏感設施監控及資安滲透等國家安全風險。此外,嗶哩嗶哩、愛奇藝及BIMOBIMO等3款行動應用程式,也被發現要求存取與核心功能無關的敏感權限,例如讀取使用者的行事曆或待辦事項及使用者的儲存空間(系統檔案及資料)等。
數發部表示,4款App的檢測結果顯示,受測App普遍存在讀取使用者的剪貼簿、影音或即時影像、麥克風權限、行事曆或待辦事項,以及將資料傳輸到中國境內伺服器等行為。即便使用者未明確授權,部分App仍可能利用背景程序或系統機制,在後台持續蒐集個人資料,例如帳號驗證資訊、通訊內容或信用卡等金融資料,以及聲音或影像資料。
數發部強調,依我國《資通安全管理法》規定,公務機關不得下載、安裝或使用中製App,包含公務機關所配發供業務使用之資通訊設備(如手機、電腦等),也須要遵守資安法相關規定,以確保國家資通安全。
數發部鎖定4大使用者核心風院,共15項檢測項目。 圖:數發部提供
4款中製App資安檢測標的。 圖:數發部提供
4款中製App資安檢測結果2-1。(Android作業系統) 圖:數發部提供
4款中製App資安檢測結果2-2。(Android作業系統) 圖:數發部提供
4款中製App資安檢測結果。(IOS系統) 圖:數發部提供
