中國APP高德地圖不只有3D街景圖,更有紅綠燈倒數功能,引發不少國人憂心。數位發展部今(27)日說明風險檢測結果,除了高德地圖外,也對另外3款中製APP嗶哩嗶哩(bilibili)、愛奇藝(iQIYI)及聊天軟體BIMOBIMO等,都會存取與核心功能無關的敏感權限,提醒民眾資料恐怕會被不當使用。
數發部資安署指出,中國依照網路安全法、國家情報法規定,可要求企業把用戶資料提供給公部門,若資料外洩或流入不法市場,可能被用在被犯罪集團用在詐騙等。數發部本次APP檢測四大核心範圍,分別為即時行為監測、跨APP資訊存取、擷取系統資訊,及資料傳輸及分享等,共有15項檢測項目。
▲4款中資APP高德地圖、嗶哩嗶哩(bilibili)、愛奇藝(iQIYI)及BIMOBIMO檢測結果。(圖/數位發展部提供) ▲4款中資APP高德地圖、嗶哩嗶哩(bilibili)、愛奇藝(iQIYI)及BIMOBIMO檢測結果。(圖/數位發展部提供) 隱密搜集地理位置 恐被用在追蹤特定人士行蹤
針對高德地圖檢測後,數發部發現該App要求存取與核心功能無關的敏感權限,例如在關閉狀態下對外傳輸資料及讀取使用者的通訊錄等11項風險行為。若該App長期隱密蒐集使用者地理位置及其他敏感性個人資料,可能進一步導致個人活動軌跡、居住地、工作地點及日常行蹤遭分析與掌握。
高德地圖所提供的紅綠燈倒數計時及3D街景圖等功能,也可能遭交叉比對利用,推測特定人士之行程、移動軌跡及活動規律,增加政府機關首長、重要公務人員等行蹤暴露與人身安全風險;若再結合長期蒐集之定位與個人資料進行分析,更可能衍生情報蒐集、敏感設施監控及資安滲透等國家安全風險。
嗶哩嗶哩、愛奇藝、BIMOBIMO同樣存取敏感權限
此外,針對嗶哩嗶哩、愛奇藝及BIMOBIMO等3款行動應用程式,也發現要求存取與核心功能無關的敏感權限,例如讀取使用者的行事曆或待辦事項及使用者的儲存空間(系統檔案及資料)等多項風險行為。
背景程序可能蒐集信用卡、影音資料 公務機關禁用
數發部表示,上述4款App檢測結果顯示,受測App普遍存在讀取使用者的剪貼簿、影音或即時影像、麥克風權限、行事曆或待辦事項,以及將資料傳輸到中國境內伺服器等行為。即便使用者未明確授權相關權限,部分App仍可能利用背景程序或系統機制,在後臺持續蒐集個人資料,例如帳號驗證資訊、通訊內容或信用卡等金融資料,以及音或影像資料。
如果相關資訊被不當取得,可能衍生信用卡資訊外洩與盜刷風險,或是被用於偽造或變造當事人影音內容,造成名譽損害或其他損失。數發部表示,依我國《資通安全管理法》規定,公務機關不得下載、安裝或使用中製App,包含公務機關所配發供業務使用之資通訊設備(如手機、電腦等),亦須遵守資安法相關規定,以確保國家資通安全。