標榜擁有300萬住戶、通過MAS L3最高等級資安標章的「智生活(SmaDay)」App,遭消基會爆出資安認證與實際安全性嚴重不符。消基會委託國家資通安全研究院針對安卓版進行兩次檢測,結果顯示最新版本(v4.13.0)竟有高達16項測試項目不通過,檢測發現該App存在個資外洩、交易攔截及帳戶連線劫持等重大風險,對此,智生活回應表示,針對消基會提到的內容還在釐清中,但強調用戶資安都是用嚴謹方式送檢規劃,內外部都有嚴格機制,並未發生資安外洩的情況。
三大風險威脅住戶隱私 個資外洩與金流交易安全堪慮
根據資安院的檢測報告,智生活App具體存在三大風險:首先是個資外洩,因程式碼與日誌檔未加密,駭客可從手機暫存竊取敏感資訊;其次是交易攔截,缺乏交易時的再次驗證,攻擊者可透過偽裝介面盜取金流權限;最後是管理缺失,隱私宣告不全且連線識別碼(Session)容易被預測,大幅增加帳戶被劫持的機率。這些缺失顯示實驗室在檢測過程中可能流於形式,缺乏實質監督強度。
認證標章淪為切片檢查 上市後監督機制形成資安真空
消基會指出,目前的行動App資安防禦呈現「重售前、輕售後」的失衡現象。雖然MAS資安標章具備認證功能,但其本質屬於單一時間點的切片檢查,一旦通過檢測,後續更新版本往往缺乏強制重測與不定期覆核機制。由於資安威脅是動態的,過時的加密方式或新漏洞可能讓原有的安全防線失效,導致掛著標章的App內部充斥未修補漏洞,形成後市場監督的嚴重斷層。
消基會呼籲落實動態治理 住戶應加強手機權限隔離自保
針對資安漏洞,消基會建議住戶採取權限隔離,僅開啟最低限度存取權,且不綁定高額信用卡或儲存密碼。同時,建議頻繁清理快取資料,更換手機前務必點擊登出並卸載。消基會進一步呼籲政府建立「動態治理」架構,針對L3等級App實施年度抽測,並建立公開的漏洞通報平台。唯有建立實驗室課責機制與長期契約,才能避免資安標章淪為上架前的一張門票,實質保護消費者的資安權益。
智生活:全面盤點各項疑慮以及檢驗標準
對此,智生活向《TVBS新聞網》回應,很感謝消基會的檢測與提醒, 資安的確不是一次性的檢驗可以全面防護, 智生活的努力是持續性的動態治理,正在全面盤點各項疑慮以及檢驗標準,將儘快進行全面性的更新以在提供便利服務的同時,以最高標準捍衛每一位住戶的資訊安全。
資安部分,內外部都有嚴格的機制,內部資安維護和把關都很認真,並未發生可能的狀況,智生活是以戶別為單位,不會取用客戶個資、身分證字號等敏感個資。
