恐成資安「黑洞」!手機APP抽測合格率竟是0
2018-06-26 12:36
〔記者陳宜加/台北報導〕手機APP恐藏資安黑洞!消保處抽查市面
上15個熱門APP,結果基本資安項目全部未通過,合格率是驚人的0;
其中,更有部分程式中發現惡意程式碼,消費者個資恐全都露。消保
處提醒,由於現行法規尚未強制要求業者須通過資安檢測、並納入罰
則,消費者應更加留意自保,認明APP安全標章。
消保處根據經濟部工業局去年公告的「行動應用APP基本資安檢測基
準V2.1」國家標準,抽測市面15件APP應用程式,包含Andriod有10件
、iOS有5件,類型涵蓋線上購物、保險、線上支付、線上訂票等,初
測結果全部未通過。
檢測項目共計29項,包括行動應用程式發布安全、敏感性資料保護、
付費資源控管安全、身分認證、授權與連線管理安全、行動應用程式
碼安全等。消保官王德明強調,「全都是最基本的資安防護項目」,
認為台灣安全意識仍太薄弱。
由於檢測結果太驚人,消保處遂與全數業者開會,並建議委由台灣電
子檢驗中心免費提供教育訓練與諮詢,但經業者改善後,複測結果仍
僅有7件通過,包括國泰人壽、南山人壽行動智慧網、三商美邦人壽
行動夥伴、歐付寶行動支付、Hami Wallet中華電信行動通信分公司
、遠傳行動客服、台灣大哥大行動客服等。
不過,複測仍未通過的8家業者,王德明表示,考量資安尚有漏洞,
反而不宜公布,以免駭客乘機而入,更侵害消費者安全。但他也直言
,歐美國家資安規定嚴格,台灣剛起步而尚未跟上,眼前最須加強教
育消費者「個資有價」觀念。
王德明說,工業局檢測基準為參考NIST國際標準訂定,但在台灣現階
段仍不是法規層級,僅為行政指導,針對APP業者尚無強制要求受測
、改善或下架的公權力,未來可能修法授權並納入罰則,此前業者應
自律,消費者也應留意。
工業局指出,通過資安檢測的APP,將於「行動應用資安聯盟網站」
公布名稱與版本,消費者下載時將可見「行動應用資安聯盟標章」,
有效時間為1年。王德明也說,檢測費用雖高昂達上萬元,但大型業
者應尚有餘裕,建議主動受檢。
消保處提醒消費者,儘量下載經檢測通過的APP,使用時也應避免過
度提供個人資料、定時更換密碼、避免連結至來路不明網址,確保個
資不會遭到有心人士利用。目前台灣針對駭客行為已有刑責,消費者
也可以透過民法規定求償自保。
http://news.ltn.com.tw/news/life/breakingnews/2469454
資安是現代社會非常重要的事情啦,而儘管複測仍然只有不到一半的業者通過
老實說不太好的,希望這些業者要好好注意這種事情
畢竟沒事的時候當然很好,但一但發生事情可就很嚴重了