數發部提醒,依今年12月正式上路的資安法新制,政府機關與公務設備均不得下載或使用相關App;一般民眾若需安裝,也應提高警覺、確認權限合理性,以避免成為精準詐騙的目標。
數發部次長葉寧表示,App早已深入民眾生活,但越來越多服務會要求取得相簿、麥克風、定位等敏感權限,使手機內的影像、聲音、信用資料可能在不知情下外洩。更關鍵的是,這5款App的營運環境位於中國,而中國《網絡安全法》與《國家情報法》賦予政府機關要求企業提供使用者資料的權力,因此國人資料無論來源,都可能被調取並被用於詐騙情境,葉寧建議民眾盡量避免安裝與使用,是最有效的風險管理方式。
資安署署長蔡福隆進一步指出,5款受測App均會將資料回傳至中國,且測試中發現多項逾越必要範圍的權限行為,包括讀取儲存空間、蒐集位置與通訊錄、分析使用習慣,甚至掌握臉部與聲紋等生物特徵。其中小紅書違規達15項最多,微博與百度雲盤各13項。若使用者曾將信用卡號、身分證資料複製到剪貼簿,也可能被App讀取,形成盜刷與冒名風險。
蔡福隆提醒,這些資訊若被回傳至中國伺服器,再加上詐騙集團掌握使用者安裝哪些外送、購物或旅遊App,便能進行「偽客服」與「精準詐騙」的攻擊。例如假冒外送平台通知退款、或冒用使用者臉部影像製作深偽影片欺騙親友,都是近年常見的攻擊手法。
依今年9月14日公布、12月1日正式施行的資通安全管理法,公務機關不得下載、安裝或使用這些危害資安的App,公務設備(手機、筆電)同樣禁止使用;政府網路(如GSN)也不提供這5款App的傳輸服務。葉寧表示,這是政府採取的最高標準防護作法,但對一般民眾仍以「提醒與風險溝通」為主,不會限制安裝自由。
針對民眾如何自保,數發部提出三點建議:首先,安裝前務必詳閱隱私條款,確認資料儲存位置是否在中國、是否會分享給第三方;其次,檢查權限是否合理,若導航App要求讀取健康資料、或雲端硬碟要求麥克風權限,都應直接拒絕;第三,善用防毒軟體與電信業者提供的網路防護服務,如阻擋惡意網站、偵測釣魚網址與過度權限App。
會後媒體提問也聚焦校園是否全面禁用,以及是否會針對民間祭出更嚴格規範。針對校園部分,教育部目前已在各級學校的學術網路封鎖TikTok;至於一般民眾,葉寧表示台灣是網路自由國家,不會限制民間使用,但政府有責任提供「資安警示」,讓國人自行評估風險。
數發部最後強調,App的便利性與風險並存,一旦資料遭惡意利用,可能衍生金融詐騙、社交工程與深偽影像等重大影響。提醒民眾在安裝前提高警覺、定期檢查權限、避免使用高風險App,才能真正守護自身資安。
點擊閱讀下一則新聞
