隨著許多社區導入智慧管理,往往透過手機應用程式簡化社區事務處理流程,管理員和住戶透過App進行郵件與包裹代收、繳費、社區重要事務公告,以及線上預約報修等,大幅增加管理員與住戶處理相關事務的便利性,然而,有標榜取得最高等級資安標章的社區管理App,近日受測卻出現許多安全性不足的問題,而且,越新的版本竟然弱點越多。
2月12日消基會最新發布的調查顯示,他們與國家資通安全研究院(資安院)合作,針對宣稱有1萬個社區採用、涵蓋300萬住戶的「智生活(SmaDay)」手機App進行檢測,結果發現,最新的安卓版本竟有多達16個項目未通過,恐讓用戶的個資外洩、相關繳費金流遭到攔截,以及連線階段(Session)被挾持的風險。
由於軟體開發公司智生活科技(原名為今網智慧科技)曾送測安卓版4.1.0與iOS版4.2.0,成功通過行動應用App資安檢測,並於去年4月取得最高等級L3的標章。不過,消基會與資安院在去年第一季和今年初兩度檢測應用程式,卻發現有多個項目安全性不足,而未通過測試。對此,消基會認為,這項發現凸顯行動應用程式的資安防禦,偏重上市前的單一時間點審核,缺乏後續的監督機制,呼籲政府應採取行動,建立抽驗與追蹤機制,並提供公開透明的弱點通報機制來因應。
消基會最初在2025年第一季首度委託資安院檢測智生活App,當時就發現有部分項目不合格,由於恰逢該軟體即將大改版至4.0.0,因此他們決定等候至少半年,在軟體進入穩定階段後進行第二次驗測。然而,第二次的檢測結果卻出乎意外,因為竟然出現更多未通過的項目,這次檢測的安卓4.13.0版,總計資安防護要求未達通過標準的部分,L1檢測有9項、L2檢測有4項、L3檢測有3項。這意味著App可能存在個資外洩、線上金流交易攔截,以及帳號管理缺失等風險。
這些問題大致分成3大層面,首先是個人資料儲存與加密機制不足,駭客可能從暫存資料中擷取使用者敏感資訊;再者,交易安全機制缺乏防護,存在被攔截的隱憂;另一方面,該App的連線階段識別碼可被預測或劫持,增加帳號遭到控制的風險。
消基會建議使用者最好採取行動自保,例如:在手機系統中設定最低必要權限,避免過度授權;再者,不要綁定高額信用卡或開啟自動儲存密碼功能;此外,應定期清理App快取與個資資訊、更換手機前務必完整登出並移除。
熱門新聞
2026-02-26
2026-02-27
2026-02-27
2026-02-27
2026-02-27
2026-02-26