【大纪元2025年12月03日讯】(大纪元记者戴德蔓台湾台北报导)台湾数位发展部12月3日公布最新检测结果,指出抖音、小红书、微博、微信及百度云盘等五款行动应用程式普遍具有六大类资安风险,包括搜集敏感性资讯、读取储存空间、预约使用权限、掌握生物特征、撷取系统资讯,以及将资料回传与分享给第三方。其中以小红书违规15项最多。数发部呼吁民众提高警觉,慎选使用,避免个资外泄。
权限要求恐让手机资料“毫无防备”
台湾数发部3日举行“资安高风险App提醒民众慎选使用”记者会,数发部常务次长叶宁表示,过去谈资安多着重在资讯系统,但App已深度介入民众生活,不管联系亲友、工作、购物或金融交易,行动应用程式无所不在。
他指出,App通常会要求使用者提供多项权限,App由哪一国法律管辖,是全球都关注的议题,而部分高风险App的营运环境位于中国,依中国《网络安全法》《国家情报法》,政府机关可要求企业提供资料。
叶宁强调,这些App可能让手机内的影像、声音、资料回传至中国,被不当利用,甚至造成精准诈骗与重大财务损失,从资安角度看,特定App的风险极高,应尽量避免安装。
五款App普遍过度搜集、资料回传中国、分享第三方
资安署署长蔡福隆表示,这次检测依据“行动应用App资安检测基准4.0”进行,包含抖音、小红书、微博、微信与百度云盘五款App。检测发现,它们普遍有过度搜集个资、过度要求权限、缺乏充分保障个资等情况;此外,多数App都会将资料导向中国境内,并分享给其它第三方厂商。
在违规样态统计中,小红书达15项,包含搜集位置、搜集通讯录、搜集剪贴簿、搜集截图、读取装置上储存空间、过度填写个资、过度要求权限、强迫同意不合理隐私条款、未充分保障个资权利、未启动时上传非必要个资、迳向第三方软体开发套件(SDK)共享个资、封包有无导向中国境内位置、搜集程式清单、搜集设备参数、搜集脸部资讯。
微博与抖音各达13项,受影响的资料包含相片、通讯录、病历、财务资讯,甚至简贴簿内容;若使用者曾复制信用卡资讯,一旦被截取就有盗刷风险。
蔡福隆指出,App也可能搜集脸型与声纹等生物特征,“脸型被搜集之后不太容易改变”,若遭不当利用,可制作伪造影像进行诈骗或传播错假讯息,带来民意与财务损失。
蔡福隆提醒,若App能掌握使用者常用的购物或外送平台,就可能被诈骗集团利用,以“客服”名义进行更精准的诈骗,也可能冒名订购服务,引发更多纠纷。
他也提出两项国际案例:加拿大今年2月的实验室分析发现,小红书在Android与iOS上都存在可精准追踪使用者浏览内容的问题;美国联邦调查局(FBI)在6月向国会报告,中共利用取得的个资伪造美国驾照操纵选举,涉及姓名、生日、地址等资料的滥用。
三大防护措施:看清条款、审查权限、善用防护工具
数发部提出三项具体防护建议:一、安装前看清隐私政策。确认资料储存地是否在中国、是否会分享给第三方。如条款不合理,应慎重评估是否安装。
二、权限要求需合理。安装App时跳出的权限要求,若明显与服务无关,如云端硬碟要求麦克风、地图软体要求健康数据,都应拒绝;平时也可定期到手机设定检查权限是否被意外开启。
三、善用资安防护工具。可安装防堵软体,协助封锁恶意网站、检查装置风险,也可搭配电信业者提供的网路防护服务,如侦测恶意程式、阻挡钓鱼网站等。
使用App采“必要才用”原则 不必要权限应关闭
《大纪元时报》记者询问,若使用者关闭App权限,中资App是否仍有可能绕过限制?蔡福隆说,App必须透过作业系统取得硬体资源,在iOS等系统上,不允许即无法取得该权限;除非遇到作业系统漏洞等特殊情况,否则不会越权。
叶宁说,以通知为例,App预设开启通知,但使用者关闭后就不会响铃。他提醒民众应以“必要才用”作为原则,不必要的App移除、不必要的权限不开启,避免因装置在身边而误以为完全安全。
此外,《大纪元时报》关心中国制手机风险。蔡福隆表示,不同系统在App上架审查上有差异,iOS较严格,Android较宽松;至于中国品牌手机,政府无法完全掌握其软硬体安全性,本身就是风险判断问题。他说,全球皆会检测中国设备,但检测仅代表风险控制,不代表零风险;若未来有新检测结果,政府会提供民众参考。
公部门全面禁止使用五款高风险App
蔡福隆说,《资安法》于12月1日正式施行,新法第11条与第27条明定,公务机关不得下载、安装与使用危害自动性安全的App;政府配发的手机与笔电也同样禁止。政府机关提供的网路接取服务,如政府网际服务网GSN,也不再提供上述五款App的公共传输服务。◇
责任编辑:唐音#
