随着智能手机普及,人人手机不离身,手机上储存敏感性资料、个资情形相当普遍,若下载的APP存有资安漏洞,恐会影响用户隐私及个人权益。日前消保处依据经济部工业局公告的“行动应用App基本资安检测基准V2.1”规范进行抽查,抽测市面上15个APP的基本资安检测的初测结果居然全数资安0合格,复测后也只有7件通过,让单纯下载APP程式的行为变成很大的资安漏洞。
消保处抽查手机APP的结果是什么呢? 经济部工业局公告的“行动应用App基本资安检测基准V2.1”规范为何呢? 以下作一说明:
随着智能手机普及,人人手机不离身,手机上储存敏感性资料、个资情形相当普遍,若下载的APP存有资安漏洞,恐会影响用户隐私及个人权益。日前消保处依据经济部工业局公告的“行动应用App基本资安检测基准V2.1”规范进行抽查,抽测市面上15个APP的基本资安检测的初测结果居然全数资安0合格,复测后也只有7件通过,让单纯下载APP程式的行为变成很大的资安漏洞。
消保处抽查手机APP的结果是什么呢? 经济部工业局公告的“行动应用App基本资安检测基准V2.1”规范为何呢? 以下作一说明:
掌握最新电信资费讯息,请加入小丰子3C俱乐部粉丝页!
[the_ad id=’13316′]
1.消保处抽查手机APP的结果:
消保处依据经济部工业局公告的“行动应用App基本资安检测基准V2.1”规范进行抽查,检测项目包括有,行动应用程序发布安全、敏感性资料保护、付费资源控管安全、身份认证、授权与连线管理安全、行动应用程序码安全等。消保处分别在Andriod、iOS两大系统平台下载10个、5个APP,类别含盖线上购物类6件、保险业类3件、线上支付类4件及线上订票类2件,初测抽测共15件App全数未通过,资安0合格 ! 经复测后,也仅国泰人寿(Android)、南山人寿行动智慧网(Android)、三商美邦人寿行动伙伴(iOS)、欧付宝行动支付(iOS)、Hami Wallet中华电信行动通信分公司(Android)、远传行动客服(Android)、台湾大哥大行动客服(Android)共7件通过检测。
至于未通过的八个App业者,消保处表示因考量仍有资安漏洞不宜公布,避免骇客乘机而入。
2.“行动应用App基本资安检测基准”规范为何呢?
“经济部工业局”基于行动应用App软件个人及敏感性资料保护等资讯安全议题需要及兼顾产业发展,于民国103年开始推动行动应用App基本资安检测制度,106年9月正式办理“行动应用App基本资安标章”申请作业,107年“经济部工业局”委托“财团法人资讯工业策进会”并协同“中华民国资讯安全学会”为执行单位,修订“行动应用App基本资安检测基准”、“行动应用App基本资安规范”及“行动应用App基本资安自主检测推动制度”。
若送检测之App业者经由“行动应用App基本资安检测实验室”依据经济部工业局公告的“行动应用App基本资安检测基准V2.1”进行检测作业,并通过安全等级所须项目,取得检测报告及“行动应用App基本资安检测合格证明”。欲申请“行动应用App基本资安标章” (Mobile Application Basic Security,MAS标章),则由送测单位(App开发者)向“行动应用资安联盟”下所设“行动应用资安制度推动委员会”办理相关申请作业。
“行动应用App基本资安标章”依检测基准安全等级分成初级、中级及高级的行动应用App基本资安标章”,若测试合格就会授与通过的标章。
检测通过的App业者会在“行动应用资安联盟网站”公布App名称及版本,若日后抽测被发现不合格也会被撤销,而行动应用资安联盟标章的有效时间为1年。
由于现行法规对App业者没有要求受测、改善或下架的公权力,纯粹是APP业者自主性花钱送测。目前通过测试的APP名单大都是台湾政府机构、官股及本土银行及少数的台湾企业(如电信三雄…)或是电商业者(如PC Home、欧付宝..)..等等,一般民众较常下载的境外APP业者基本上都不会花钱送测自找麻烦。然而由这次消保处抽查手机APP结果为0合格,加上很多境外APP恶意窃取不知情用户个资益恶名昭彰防不胜防,日前vivo发表可以自动升级相机镜头的NEX手机意外被网友发现可以成为“侦测恶意程式”! XDDD。
是故,为了保护自己的个资,如果下载没有检测通过的App,要避免过度提供个人资料或开放无谓的权限;若下载的APP有支援线上支付功能者,更要定时更换密码,以确保个资不会遭有心人士使用或搜集。
图片来源: 网络