數位發展部今(27)日指出,檢測高德 地圖、嗶哩嗶哩、愛奇藝 及BIMOBIMO等4款中製行動應用程式(App),會要求存取與核心功能無關的敏感權限,例如讀取使用者的行事曆、待辦事項及使用者的儲存空間等多項風險行為,提醒國人應提高警覺,以保障自身數位安全。
中國大陸製App因經常將使用者資料傳輸至中國大陸境內伺服器,而廣受西方國家質疑。數發部 資安署長蔡福隆今日也特別提到,前一陣子的川習會,美方出席官員都是使用臨時的通訊設備,在中國大陸開完會、回到美國之後,就會把這些一次性使用的設備重新回復原廠設置,以避免資安風險。
數發部近日檢測高德地圖、嗶哩嗶哩、愛奇藝及BIMOBIMO等4款App後發現,這些App都會要求存取與核心功能無關的敏感權限。
其中,高德地圖共有11項風險行為,例如,高德地圖會於關閉狀態下對外傳輸資料、讀取使用者的通訊錄,倘若該App長期隱密蒐集使用者地理位置及其他敏感性個人資料,可能進一步導致個人活動軌跡、居住地、工作地點及日常行蹤遭分析與掌握,增加個人行蹤暴露、隱私遭侵害,及個人資料遭不當利用(如被犯罪集團用於詐騙)的風險。
此外,高德地圖提供的紅綠燈倒數計時及3D街景圖等功能,亦可能遭交叉比對利用,推測特定人士的行程、移動軌跡及活動規律,增加政府機關首長、重要公務人員等行蹤暴露與人身安全風險;若再結合長期蒐集之定位與個人資料進行分析,更可能衍生情報蒐集、敏感設施監控及資安滲透等國家安全風險。
另外,嗶哩嗶哩、愛奇藝及BIMOBIMO等3款行動應用程式,也會要求存取與核心功能無關的敏感權限。
嗶哩嗶哩、愛奇藝主要是影音App,不少國人都會透過以上兩款App追劇,BIMOBIMO則是一款由AI驅動的虛擬互動應用程式,主打AI伴侶角色扮演,使用者過去使用BIMOBIMO時,也曾發現AI能精準說出使用者的穿搭、動作、房間擺設,而質疑這款App有窺屏、竊聽的問題。
數發部指出,嗶哩嗶哩、愛奇藝及BIMOBIMO等3款行動應用程式,也會要求讀取使用者的行事曆、待辦事項及使用者的儲存空間等多項風險行為,倘使用者同意這些App取得這些權限,可能導致個人檔案與裝置資訊遭持續蒐集與識別,並使個人敏感資料於境外被長期儲存及再利用,甚至遭犯罪集團取得並用於新型態詐騙。
數發部指出,本次檢測發現中製App會將資料傳輸至中國大陸境內伺服器。這使得資料在不被察覺的情況下被持續搬移,且因該等App開發廠商受中國大陸「網絡安全法」及「國家情報法」等法律管轄,可要求企業將用戶資料提供給國安、公安及情報工作部門,導致使用者資訊面臨被中國政府強制調閱的極高風險。
數發部也進一步解釋,即便使用者未明確授權相關權限,部分App仍可能利用背景程序或系統機制,在後台持續蒐集個人資料,進而提升敏感資訊外洩的風險,例如帳號驗證資訊、通訊內容或信用卡等金融資料,如遭不當取得,甚至可能衍生信用卡資訊外洩與盜刷風險;此外,語音或影像資料亦可能遭不當利用,甚至被用於偽造或變造當事人影音內容,造成名譽損害或其他損失。
數發部表示,個別的權限要求看似無害,但透過大數據蒐集串聯分析後,即可能構成嚴重的隱私缺口。App固然帶來「表面上的便利」,但更應注意「背後的隱形風險」,提醒民眾應保持警覺,落實資安防護以守護個資安全。
討論區