恐成资安“黑洞”!手机APP抽测合格率竟是0
2018-06-26 12:36
〔记者陈宜加/台北报导〕手机APP恐藏资安黑洞!消保处抽查市面
上15个热门APP,结果基本资安项目全部未通过,合格率是惊人的0;
其中,更有部分程式中发现恶意程式码,消费者个资恐全都露。消保
处提醒,由于现行法规尚未强制要求业者须通过资安检测、并纳入罚
则,消费者应更加留意自保,认明APP安全标章。
消保处根据经济部工业局去年公告的“行动应用APP基本资安检测基
准V2.1”国家标准,抽测市面15件APP应用程式,包含Andriod有10件
、iOS有5件,类型涵盖线上购物、保险、线上支付、线上订票等,初
测结果全部未通过。
检测项目共计29项,包括行动应用程式发布安全、敏感性资料保护、
付费资源控管安全、身分认证、授权与连线管理安全、行动应用程式
码安全等。消保官王德明强调,“全都是最基本的资安防护项目”,
认为台湾安全意识仍太薄弱。
由于检测结果太惊人,消保处遂与全数业者开会,并建议委由台湾电
子检验中心免费提供教育训练与咨询,但经业者改善后,复测结果仍
仅有7件通过,包括国泰人寿、南山人寿行动智慧网、三商美邦人寿
行动伙伴、欧付宝行动支付、Hami Wallet中华电信行动通信分公司
、远传行动客服、台湾大哥大行动客服等。
不过,复测仍未通过的8家业者,王德明表示,考量资安尚有漏洞,
反而不宜公布,以免骇客乘机而入,更侵害消费者安全。但他也直言
,欧美国家资安规定严格,台湾刚起步而尚未跟上,眼前最须加强教
育消费者“个资有价”观念。
王德明说,工业局检测基准为参考NIST国际标准订定,但在台湾现阶
段仍不是法规层级,仅为行政指导,针对APP业者尚无强制要求受测
、改善或下架的公权力,未来可能修法授权并纳入罚则,此前业者应
自律,消费者也应留意。
工业局指出,通过资安检测的APP,将于“行动应用资安联盟网站”
公布名称与版本,消费者下载时将可见“行动应用资安联盟标章”,
有效时间为1年。王德明也说,检测费用虽高昂达上万元,但大型业
者应尚有余裕,建议主动受检。
消保处提醒消费者,尽量下载经检测通过的APP,使用时也应避免过
度提供个人资料、定时更换密码、避免连结至来路不明网址,确保个
资不会遭到有心人士利用。目前台湾针对骇客行为已有刑责,消费者
也可以透过民法规定求偿自保。
http://news.ltn.com.tw/news/life/breakingnews/2469454
资安是现代社会非常重要的事情啦,而尽管复测仍然只有不到一半的业者通过
老实说不太好的,希望这些业者要好好注意这种事情
毕竟没事的时候当然很好,但一但发生事情可就很严重了