行政院消費者保護處(以下簡稱行政院消保處)依據經濟部工業局(以下簡稱工業局)去(106)年3月7日公告之「行動應用App基本資安檢測基準V2.1」規範,抽測市面15件4G應用程式App,初測結果全部未通過,複測結果只有7件通過,提醒消費大眾下載App時注意個人資安保護。
行政院消保處於去年10月至今(107)年5月透過Andriod(Google)及iOS(Apple)兩大系統平台下載App,Andriod(Google)10件及iOS(Apple)5件合計15件(其中包括線上購物類6件、保(壽)業類3件、線上支付類4件及線上訂票類2件),本次檢測項目共29項,包括行動應用程式發布安全(中級2項)、敏感性資料保護(初級3項、中級8項)、付費資源控管安全(高級4項)、身分認證、授權與連線管理安全(中級6項)、行動應用程式碼安全(初級3項、中級3項),檢測結果如下:
一、初測:抽測15件App,全數未通過。行政院消保處遂與全部App業者開會並建議委由財團法人台灣電子檢驗中心(以下簡稱台檢中心)免費提供教育訓練、講師、場地及諮詢窗口,如App業者同意參加教育訓練並通過複測者,台檢中心將協助取得行動資安聯盟標章。
二、複測:接受教育訓練有10件,連同其他5件,再進行複測結果,有8件未通過,檢測通過7件包括國泰人壽(Android)、南山人壽行動智慧網(Android)、三商美邦人壽行動夥伴(iOS)、歐付寶行動支付(iOS)、Hami Wallet中華電信行動通信分公司(Android)、遠傳行動客服(Android)、台灣大哥大行動客服(Android)(附表1)。
檢測通過App業者會在「行動應用資安聯盟網站」公布App名稱及版本,消費大眾從Andriod(Google)及iOS(Apple)系統下載時可看到行動應用資安聯盟標章(有效時間為1年)。
工業局檢測基準係參考NIST國際標準訂定,惟現階段非屬法規,對App業者尚無要求受測、改善或下架之公權力,僅為提供業者自律檢測基準,屬行政機關對業者為所為之行政指導,行政院消保處僅就通過之App予以公布以資鼓勵,另未通過App業者考量資安尚有漏洞,不宜公布,以避免駭客乘機而入,僅公布件數及未通過檢測項目數目,不公布名稱(附表2)
本案經提報本院消費者保護會第56次會議,決議請中央各主管機關鼓勵業管App業者重視資安機制,於開發或改版時即進行資安檢測,並加強宣導App資安活動,最後請行政院資通安全處協調國家發展委員會促請全國各機關、學校App進行資安檢測。
行政院消保處提醒消費者注意,儘量下載Andriod(Google)及iOS(Apple)兩大系統平台中已經檢測通過之App,如透過兩大系統下載卻無檢測通過App,使用時應避免過度提供個人資料,部分有支援線上支付功能者,請注意定時更換密碼,避免連結至來路不明網路(網址),以確保個人資料不會遭有心人士不當使用或搜集。