智生活App爆16項資安漏洞　300萬人「個資裸奔」！3大風險一次看

宣稱服務遍及1萬個社區、300萬住戶的智慧社區App「智生活」（SmaDay），雖取得MAS L3最高等級資安標章，卻被消費者文教基金會與國家資通安全研究院檢測發現多達16項缺失，引發資安疑慮。消基會今（2/12）日召開「智慧居家服務，風險全都露——智生活App資安檢測結果」記者會，提醒用戶恐面臨個資外洩、金流權限遭盜取及加密資訊洩漏等風險。

智生活App由智生活科技（原今網智慧科技）股份有限公司開發，主打整合社區公告、包裹通知、繳費提醒、水電維修與居家清潔預約等功能，廣泛應用於社區大樓住戶與管委會。官方網站及App平台標示已通過MAS L3最高等級資安認證。

消基會董事長鄧惟中指出，消基會與國家資通安全研究院針對安卓版進行兩次檢測，第二次為最新送驗版本後再檢測，結果發現多達16項未通過，包括未清楚說明欲存取之敏感資料與用途、用戶登出後仍可於檔案中搜尋到手機號碼、信用卡輸入畫面未遮蔽等問題。

消基會表示，相關缺失可能導致三大風險，第一是個資外洩，由於程式碼與日誌檔未落實加密或清理，駭客可能從手機暫存資料中取得敏感資訊；第二是交易攔截，因缺乏再次驗證及防覆蓋保護機制，攻擊者可能透過偽裝介面誘導操作，或側錄輸入內容以盜取金流權限；第三則是隱私管理不足，隱私宣告不全、連線識別碼（Session）易被預測，增加帳戶遭劫持與加密資訊外洩風險。

消基會監察人卓政宏指出，在數位時代「客戶資料就是資本」，App為精準投放廣告蒐集大量用戶資料，卻未必具備足夠保護能力。部分App頻繁更新版本，送驗版本與實際使用版本未必一致，造成取得標章後缺乏持續監督的問題。他認為政府應建立動態管理與抽驗制度。

國家資通安全研究院副院長龔化中表示，App上市後仍需持續監測與修補漏洞。若在歐盟發生類似情況，業者可能面臨標章撤銷或下架與高額罰款。他強調，取得資安標章不代表永久合格，而是持續維護的起點。

消基會進一步指出，目前App資安檢測高度依賴第三方實驗室，若缺乏定期稽核與報告回溯機制，恐流於形式，建議數位發展部與制定MAS標準的台灣資通產業標準協會建立「後市場治理」機制，包括針對高風險App實施年度不定期抽測、強化實驗室課責，以及建立公開透明的漏洞通報平台，要求業者限期修補，否則撤銷資安標章。

鄧惟中也建議，消費者若想自保有3大策略，第一，於手機設定中採取「最低權限原則」，盡量減少App存取權限；第二，避免綁定高額信用卡或開啟自動儲存密碼功能；第三，定期清理App快取資料，更換手機前務必先登出再卸載，以避免敏感資料殘留。