資安院發布警示,中製APP包括小紅書、抖音等存在資安風險,籲民眾勿下載。路透社
隨著行動裝置普及,民眾日常生活高度依賴各類APP,然部分中國製APP存在多項資安高風險行為,可能危害使用者個人資料與行動裝置安全。國家資通安全研究院今日(7/4)提出警示,呼籲民眾提高資安意識,下載或使用APP時,密切注意APP對資料蒐集與權限要求的合理性。
我國國安局、法務部調查局及警政署刑事局,依數發部發布之「行動應用APP基本資安檢測基準v4.0」指標,對小紅書、微博、抖音、微信及百度雲盤等中國APP進行檢測,發現皆出現多項高風險行為,類型包含「蒐集敏感性資訊」、「讀取儲存空間」、「逾越APP使用功能之權限」、「擷取系統資訊」、「掌握生物特徵」以及「數據回傳與分享」等6大面向,顯示中製APP在資安防護上仍有重大疑慮。
依國安局的檢測結果,資安院分析上述APP可能的資安風險與影響如下:
一、蒐集敏感性資訊
風險行為:APP會蒐集手機或行動裝置所在位置、通訊錄、通訊對象、剪貼簿內容與截圖。
可能影響:例如民眾在家中查詢附近醫療院所資訊時,APP可能會記錄其所在地與搜尋內容,了解其健康狀況;此外,使用者在複製信用卡號準備付款時,剪貼簿內容也可能遭APP擷取。
二、讀取儲存內容
風險行為:APP可存取手機或行動裝置內部照片、文件等私人資料,造成隱私外洩。
可能影響:例如個人手機中的家庭合照、工作簡報、甚至病歷報告與財務報告,被APP讀取並回傳至遠端伺服器進行分析與利用。
三、逾越APP使用功能之權限
風險行為:APP過度要求使用者填寫個資、要求不必要權限、強迫同意不合理條款及未保障個資權利。
可能影響:例如民眾下載APP僅欲觀看影片、星象算命等等,卻被要求提供生日、身分證號、住址、手機、電子郵件等資訊,導致個資暴露於不明風險中。
四、擷取系統資訊
風險行為:APP可取得並分析使用者手機安裝程式清單與設備參數資訊,進而建立使用習慣檔案。
可能影響:例如民眾手機安裝之銀行APP、VPN工具及健康追蹤器等軟體資訊,可能被APP讀取並分析,進而推測使用者的財務狀況、健康狀態、個人喜好與網路使用行為。
五、掌握生物特徵
風險行為:臉部資訊屬高度敏感資料,外洩後恐遭偽造身分或進行詐騙。
可能影響:例如個人臉部資料、指紋、聲紋可能被儲存並傳送至境外,未來被用於製作假身分或深偽影音,造成身分盜用與社會信任危機。
六、回傳數據與分享
風險行為:APP可能於運作時,將手機資料、使用者個資等等,回傳至中國境內伺服器,或分享資料給予第三方。
可能影響:例如APP可能在使用者不知情之情況下,自動將聯絡人、位置資訊、裝置參數、使用者登錄各網路平台預存各種個資、帳號密碼等資訊傳送至中國境外伺服器,恐有提供予中國國安、公安或情資部門,使國人個資遭中國政府進一步運用。
資安院指出,上述資安風險與影響可能導致的結果無法預估,假設個人的手機或行動裝置成為資安漏洞,成為中國駭客入侵政府資料庫的中繼站,後果將不堪設想。以美國為例,美國聯邦調查局在2025年6月向國會提交的報告指出,中國涉嫌偽造大量美國駕照運入美國,可能藉此申請假郵寄選票操縱2020年總統大選,這些個資也可能來自資安事件導致的個資外洩,例如Equifax 2017、T-Mobile(Experian)等事件,遭竊的個資包含姓名、地址、生日、社會安全號碼、駕照號碼等等。此外,美國政府也針對Equifax 2017事件,起訴四名中國軍方人員。
基於網路資安與個資安全,資安院建議民眾使用注意事項如下:
1.安裝APP前,詳閱權限要求與隱私條款。
2.定期檢查手機APP權限設定,關閉不必要的權限。
3.優先選用來源可信之APP,避免安裝來路不明程式。
4.使用資安防護工具,監控資料傳輸與異常行為。
5.APP要求提供機敏資訊前,應評估其合理性與必要性。
不過,即便APP在安裝時並未提示權限要求與隱私條款,但在下列狀況下,也非常不安全,例如「惡意APP」,某些APP在設計上包含惡意程式碼,可能會利用系統漏洞,例如root、越獄環境等等,進一步存取未授權的資料。
其次,有些APP雖然表面上用途單純,但內部可能使用了來自其他公司的廣告或追蹤模組(又稱第三方軟體開發套件,SDK),這些模組會在使用時偷偷收集裝置ID、已安裝的APP清單等資訊。
還有些APP即使沒有直接存取敏感資料,仍可能透過其他方式推測使用者的行為或個資。例如:APP不讀通話記錄,但根據民眾使用APP的時間、麥克風聲音變化等訊號,間接判斷是否正在通話。
有鑑於此,資安院再次呼籲民眾,面對日益複雜的資安威脅,唯有提高警覺並落實防護,方可有效守護自身資訊安全。請民眾慎選APP來源,定期檢查權限設定,避免自身隱私資料洩露造成不必要之風險,也防止國人個資遭到中國政府不當運用。