300萬人個資恐外泄「智生活」App爆16項資安漏洞

消基會今日舉辦「智慧居家服務，風險全都露－智生活App資安檢測結果」記者會。（蔡佩珈攝）

宣稱用戶達1萬個社區、300萬住戶的「智生活」智慧社區app，取得最高等級的資安標章，消基會與國家資通安全研究院送驗卻發現，該App安卓版出現16項不通過檢測，用戶面臨個資外泄、被盜取金流權限、加密資訊泄漏等3大隱私風險，提醒用戶留意。另因多數App取得認證標章後，缺乏定期抽驗機制，也呼籲數發部針對高風險App實施不定期抽驗。

消基會今日舉辦「智慧居家服務，風險全都露－智生活App資安檢測結果」記者會。

消基會董事長鄧惟中說明，「智生活」App提供社區住戶及大樓管委會使用，提供找水電、快遞通知、公告等多項功能，宣稱取得MAS L3最高等級的資安標章，然消基會與國家資通安全研究院2周前送驗該App的安卓版v4.13.0，發現共16項不通過。

消基會指出，用戶可能因此面臨的風險包含個資外泄，駭客可輕易從手機暫存中竊取用戶的敏感資訊；交易攔截，缺乏交易時的再次驗證與防覆蓋保護，攻擊者可透過僞裝介面誘導入坑，或在背景側錄您的輸入動作來盜取金流權限；隱私宣告不全且連線識別碼容易被預測，增加帳戶連線被劫持，導致加密資訊泄漏的風險。

鄧惟中提醒，使用該App的用戶到手機設定頁面，儘可能關掉App存取權，也不要綁定高額信用卡或開啓自動儲存密碼的功能，以及頻繁清理App快取資料。若要更換手機，先於App登出，再卸載。

消基會監察人卓政宏則表示，智生活是免費App，但爲了精準投放廣告，蒐集許多用戶個資，卻沒有能力好好保護資料，且因App經常更新版本，導致過去的版本檢驗合格獲得認證，現在的版本送驗卻不合格，考量現在App更新速度快，政府應動態管理。

國家資通安全研究院副院長龔化中指出，App上市後需持續監測才能確保資安，發現漏洞需馬上修補，若發生在歐盟，App可能面臨下市或鉅額罰款，臺灣應有類似制度。

消基會認爲，數發部以及負責制定MAS的臺灣資通產業標準協會須建立抽驗與追蹤機制，針對高風險App實施年度不定期抽測。若App通過檢測後短時間爆發重大已知漏洞，應追究實驗室檢測不實的責任。此外，還要建立App漏洞通報平臺，強制開發商在時限內修復並公告，否則撤銷其資安標章。