數發部今天召開記者會指出,本次檢測鎖定App中的4大核心風險,包括「讀取使用者操作行為」、「讀取其他App中的資料」、「讀取使用者裝置資訊」以及「蒐集並分享使用者資料」,共計15項檢測項目。結果顯示,上述4款App普遍存在讀取剪貼簿、影音或即時影像、麥克風權限、行事曆與待辦事項,以及將資料傳輸至中國境內伺服器等情況。
其中,高德地圖被點名風險最高。數發部表示,該App除了要求與導航功能無關的敏感權限,還存在於關閉狀態下持續對外傳輸資料、讀取通訊錄等11項風險行為。若長期蒐集使用者位置資訊與個資,可能進一步分析個人活動軌跡、住家與工作地點,增加隱私外洩與遭不當利用風險。
數發部也特別提到,高德地圖提供的紅綠燈倒數與3D街景功能,若搭配長期蒐集的定位資料,恐遭交叉比對推測特定人士的移動規律與生活行程,甚至可能衍生情報蒐集、敏感設施監控與資安滲透等國安風險。對政府高層、公務人員而言,相關風險更需提高警覺。
至於嗶哩嗶哩、愛奇藝與BIMOBIMO等影音平台App,數發部則指出,檢測發現其會要求存取行事曆、待辦事項與裝置儲存空間等,與影音播放核心功能並無直接關聯。若使用者同意授權,個人檔案、裝置資訊與敏感資料可能遭長期蒐集與識別,甚至被犯罪集團利用於新型態詐騙。
數發部提醒,中國依據《網絡安全法》與《國家情報法》,可要求企業提供用戶資料給國安、公安與情報部門。由於本次檢測發現所有受測App皆會將資料傳輸至中國境內伺服器,且開發商受中國法律管轄,意味著使用者資料面臨被強制調閱的高風險。
數發部進一步指出,即便使用者未明確授權部分權限,某些App仍可能透過背景程序持續蒐集資料,進一步提高敏感資訊外洩風險,包括帳號驗證資訊、通訊內容與信用卡資料等;若語音與影像遭不當取得,也可能被用於偽造影音內容,造成名譽與財務損失。
另外,數發部也重申,依據《資通安全管理法》,公務機關不得下載、安裝或使用中製App,包括公務配發的手機與電腦設備,也必須遵守相關規範,以確保國家資安。
數發部呼籲,民眾安裝App前應詳閱隱私政策,確認權限要求是否合理,並避免直接開放長期權限,建議優先選擇「僅允許這一次」等一次性授權方式,同時定期檢查並關閉不必要權限。此外,也建議安裝手機資安防護工具,降低惡意程式與後門風險。
數發部強調,單一權限看似無害,但當大量資料透過大數據串聯分析後,可能形成嚴重的隱私缺口。App帶來便利的同時,也存在「看不見的風險」,民眾應建立基本資安意識,避免個資遭長期蒐集與濫用。
火線話題 | 高德地圖資安疑慮
這篇報導屬於「 高德地圖資安疑慮 」主題,更多延伸閱讀:
點擊閱讀下一則新聞
