數位發展部(數發部)針對民眾常用的多款中國製手機 App 提出警告,指出包含高德地圖、嗶哩嗶哩(bilibili)、愛奇藝(iQIYI)及 BIMOBIMO 等 4 款 App,皆存在過度索取權限與資料外洩的疑慮。
4 款 App 遭點名,過度索取核心外權限成隱憂
根據數發部公布的資安檢測報告,這次調查鎖定「讀取使用者操作行為、讀取其他 App 資料、讀取裝置資訊、蒐集並分享使用者資料」等四大核心風險。結果顯示,這 4 款受測 App 普遍存在讀取使用者剪貼簿、影音、麥克風、行事曆、待辦事項的行為;數發部指出,這些 App 往往要求存取與其核心功能毫無關聯的敏感權限,倘若使用者點選同意,個人檔案與裝置資訊就可能遭到持續性的蒐集與識別。
數發部:定位軌跡與金融資料恐外洩,潛藏國安與詐騙危機
在個別 App 的風險評估上,數發部特別以「高德地圖」為例說明,檢測發現該導航軟體甚至會在關閉狀態下,對外傳輸資料或讀取使用者的通訊錄,總計達 11 項風險行為,並表示這類長期隱密蒐集地理位置的行為,不僅會讓使用者的日常行蹤與居住地遭分析掌握,其內建的紅綠燈倒數、3D 街景等功能若遭交叉比對,更可能暴露政府首長或重要公務員的行程,衍生出情報蒐集或敏感設施監控等國家安全問題。
此外,針對嗶哩嗶哩、愛奇藝與 BIMOBIMO 等影音娛樂軟體,數發部也發現其會要求讀取行事曆或系統儲存空間;數發部解釋,即便使用者未明確授權,部分 App 仍會利用背景程序持續蒐集帳號驗證、通訊內容甚至信用卡等金融資料,強調這些數據一旦於境外被長期儲存、再利用,極有可能流入犯罪集團手中,成為新型態詐騙或盜刷的工具,若遭不當取得的語音與影像,還可能被用於偽造當事人影音,造成名譽損害。
資料回傳中國伺服器,公務機關已全面禁用
數發部表示本次檢測的所有 App,皆會將資料傳輸至位於中國境內的伺服器,由於中國《網絡安全法》及《國家情報法》明文規定可要求企業將用戶資料提供給情報部門,這意味著這些受中國法律管轄的開發廠商,隨時面臨被中國政府強制調閱資料的極高風險,而使用者的個資就在不被察覺的情況下遭到搬移。
同時也強調,依據我國《資通安全管理法》,目前公務機關及其配發之資通訊設備,已全面禁止下載、安裝或使用任何中國製 App。
數發部提三大防護建議,呼籲民眾重視「背後的隱形風險」
數發部建議民眾避免使用上述高風險 App,同時在日常手機使用上應落實防護原則,並建議民眾在安裝任何應用程式前,務必仔細閱讀隱私政策條款,確認軟體如何蒐集與傳輸資料;而在授權時必須檢視合理性,應盡量選擇「僅允許這一次」而非預設的「使用應用程式時」,讓每一次的資料讀取都必須經過本人確認,並養成定期檢查權限、刪除閒置 App 的習慣。
數發部也鼓勵民眾善用手機資安防護軟體,藉此主動阻擋惡意連線與後門威脅。
