300萬人恐個資外洩！　「智生活」App爆16項資安漏洞

消費者文教基金會與國家資通安全研究院聯手檢測「智生活」App，發現該應用程式存在16項資安漏洞，恐讓全台300萬名用戶面臨個資外洩、金流遭盜等風險。該App雖宣稱取得MAS L3最高等級資安標章，但送驗結果卻全數不通過。

消基會今（12）日舉辦「智慧居家服務，風險全都露－智生活App資安檢測結果」記者會，董事長鄧惟中說明，「智生活」提供社區住戶及大樓管委會使用，具備找水電、快遞通知、公告等多項功能。消基會與國家資通安全研究院於兩週前送驗該App的安卓版v4.13.0版本，檢測結果顯示共有16項不符合資安標準。

根據消基會指出，用戶可能面臨三大風險。首先是個資外洩問題，駭客可輕易從手機暫存中竊取用戶的敏感資訊。其次為交易攔截風險，由於缺乏交易時的再次驗證與防覆蓋保護，攻擊者可透過偽裝介面誘導入坑，或在背景側錄輸入動作來盜取金流權限。第三則是隱私宣告不全且連線識別碼容易被預測，增加帳戶連線被劫持、導致加密資訊洩漏的風險。

• play_circle_outline 快領普發1萬！2/13下午6時前沒登記　年後才入帳

鄧惟中提醒使用該App的用戶，應立即到手機設定頁面，盡可能關閉App存取權限，也不要綁定高額信用卡或開啟自動儲存密碼的功能，並且要頻繁清理App快取資料。若要更換手機，必須先於App登出再卸載。

消基會監察人卓政宏表示，智生活是免費App，但為了精準投放廣告而蒐集許多用戶個資，卻沒有能力好好保護資料。他指出，由於App經常更新版本，導致過去的版本檢驗合格獲得認證，現在的版本送驗卻不合格。考量現在App更新速度快，政府應採取動態管理機制。

國家資通安全研究院副院長龔化中指出，App上市後需持續監測才能確保資安，發現漏洞需馬上修補。他表示，若類似情況發生在歐盟，App可能面臨下市或巨額罰款，台灣應建立類似制度。

• play_circle_outline 外傳高金素梅涉詐領1641萬補助款　含原民會、國營事業均待釐清

消基會認為，數位發展部以及負責制定MAS的台灣資通產業標準協會須建立抽驗與追蹤機制，針對高風險App實施年度不定期抽測。若App通過檢測後短時間爆發重大已知漏洞，應追究實驗室檢測不實的責任。此外，還要建立App漏洞通報平台，強制開發商在時限內修復並公告，否則撤銷其資安標章。