ＦＢ卦点说明：（繁体中文 20 个字）
ＦＢ连结：https://www.facebook.com/KNYChen/posts/1689424227735706
ＦＢ内容：
建议各位国民，注意政府 App 的资安问题，不要透过以下方式安装App，也不是挂政府单
位名字的 App 就是安全的，难以想像公部门竟然透过这种方式来作更新，这会造成极大
的资安漏洞。
.
交通部 观光局 的 “旅行台湾” iOS App，当我从 Apple 的 App Store 下载安装后执
行，跟我说有新版本要更新，但却导向这个网站下载安装，这个网站直接告诉你，得让你
的装置，信任某商业公司的描述档，才能执行。
http://wcit2017.azurewebsites.net/App/ios/TourTaiwan/index.html
（再三提醒，可以点进去看，但请不要点“下载安装”，免的出事情）
而且，信任的是 某商业公司的描述档，而不是 交通部 观光局 的。
.
直接这样安装的方式，是企业内部 App 分发使用的方式，请参考
https://support.apple.com/zh-tw/HT204460
.
这样的流程所取得的 App，是不受 App Store 审查的，权限极大，什么事情都可以作，
要进行扫描、使用 Private API、攻击、窃取资料、拍照、录音、背景执行、、、轻而易
举，如果真的是一只木马，发生资安事件，交通部 观光局 是否要一并担起相关责任呢？
！
.
如果理由是为了参加活动，来不及通过 Apple 审查，那就真的再次验证， App 是纯商业
市场，公部门不要乱跳下去玩。
.
如果这样的更新方式，是由接案公司提议、执行，真的出事，公部门也该担起责任，不能
说你不懂技术，不懂 App 就能撇清所有责任（那你还来开发 App）
.
我已经建议好几年，公部门不要乱玩 App 了，抄袭、模仿、一窝蜂开发、蚊子App，再用
买榜、抽奖、买广告冲下载数 的各种手段，我已经不想再说了，免的惹人厌，反正成本
是每个纳税人都要支付，被毁灭的生态圈与政策也是全国大家一起承担。
.
但现在是用这种暗黑手法更新，实在看不下去了，诚恳建议 观光局 的承办，别这样乱玩
，真的会玩到你出事情，趁周一上班的时候，快点处理掉，如果是厂商建议你这样作，真
不知道是在帮你，还是在害你。
.
建议公部门其实没什么用，所以提醒各位国民，好好保护自己吧，看到这种方式下载或更
新的 App，请直接当成“木马”，不是挂政府单位的名称就安全，免的资料被偷、被录音
、被拍照、被追踪、、、好好保护自己吧。
#wcit2017