消基會：智生活App有資安風險 業者允重新檢視防護措施

不管是包裹代收、繳費通知或是家電維修預約等，都能利用手機App智慧社區平台一站式搞定。不過消基會最新調查發現，這款「智生活App」有資安隱憂，業者雖然宣稱已通過MAS L3、最高等級資安標章，但是實際檢測卻有16項目未通過，恐怕讓1萬個社區、300萬住戶的個資全都露。

消基會董事長鄧惟中指出，「把用戶的一些電郵手機號碼，那App執行完之後還留存在手機的記憶體裡面。」

消基會和數發部國家資通安全研究院合作，針對「智生活App」安卓版v4.1.0與iOSv4.2.0版本做測試，發現程式碼與日誌檔未落實加密或清理，駭客可輕易竊取手機敏感資訊；另外交易時缺乏再次驗證與防覆蓋保護，攻擊者可偽裝介面誘導入坑，盜取金流權限；管理部分隱私宣告不全，增加帳戶連線被劫持的風險。

數發部國家資通安全研究院副院長龔化中說明，「因為資訊安全沒做好，其實整個就跟吃到不良的食品一樣，你會拉肚子，你的資料會被洩漏隱私，還有可能你的手機或電腦也會被受駭。」

「智生活」品牌推廣經理許麗雪回應，「資安的部分我們有申請通過，是MAS的標章、行動應用通訊這邊的標章，那另外的話我們也有主動送檢的是國際標準的ISO27001，我們今年的話27001跟27701也都已經有通過認證。」

業者回應指出，會重新檢視資安防護措施以確保用戶安全；而消基會則是建議政府，應針對高風險的App實施年度不定期抽測，若有App通過檢測後短時間內爆發重大漏洞，應追究實驗室檢測不實之責，並撤銷業者資安標章，最重要的是要建立公開透明的缺失通報機制。