智生活App爆16項資安漏洞　300萬用戶恐個資外泄、交易遭駭客攔截

▲消基會表示，智生活App經過國家資通安全研究院檢測，高達16項不合格，有資安與隱私風險。（圖／消基會提供）

記者許敏溶／臺北報導

宣稱用戶數達300萬住戶的「智生活App」，今（12日）遭消基會指出，經送國家資通安全研究院檢測，竟高達16項不合格，涵蓋「個資外泄、交易攔截、管理缺失」等3大類資安與隱私風險，衍生駭客可輕易竊取用戶敏感資訊等問題。消基會提醒用戶不要綁定高額信用卡，也呼籲政府建立更完善的後市場治理架構。

爲打造智慧社區，不少廠商開發出非常便利的手機App，提供住戶和社區大樓管委會成員使用。其中「智生活（SmaDay）App」由智生活科技（原今網智慧科技）公司開發，在官方網站宣稱用戶數已達1萬個社區、300萬住戶，更宣稱應用軟體已經通過MAS L3最高等級資安標章。

不過，消基會今天召開記者會指出，將智生活App的安卓版送到國家資通安全研究院進行兩次檢測，發現智生活App高達16項檢測未通過，包括9項L1（最低等級）、4項L2和3項L3項目不通過。

▲智生活App經消基會送到國家資通安全研究院檢測，高達16項不合格，有資安與隱私風險。（圖／消基會提供）

消基金會董事長鄧惟中指出，檢測16項不合格涵蓋「個資外泄、交易攔截、管理缺失」等3大類資安與隱私風險。在「個資外泄」部分，由於程式碼與日誌檔未落實加密或清理，駭客可輕易從手機暫存中竊取敏感資訊；在「交易攔截」部分，因缺乏交易時的再次驗證與防覆蓋保護，攻擊者可透過僞裝介面誘導入坑，或在背景側錄用戶的輸入動作來盜取金流權限；至於「管理缺失」，因爲隱私宣告不全且連線識別碼（Session）容易被預測，增加帳戶連線被劫持的風險。

消基會監察人卓政宏分析，「智生活App」的商業模式沒收費，但又想賺錢，所以透過蒐集客戶個資來進一步利用，讓廣告主願意投資，但該公司要蒐集個資，卻連儲存與保護能力都沒有，就可能產生資安風險，「這件事蠻嚴重的！」他呼籲政府要以動態方式進行管理，而且政府對泄漏個資沒有嚴重罰則，這是非常離譜的。

因此，鄧惟中提醒用戶，不綁定高額信用卡，也不要開啓自動儲存密碼功能，提高對「金流與交易」的防護，並頻繁清理該App的「快取資料」，避免「敏感資料殘留」，以及儘可能最低限度的打開該App的存取權。

對於數發部等政府與標準制定單位，消基會呼籲建立更完善的後市場治理架構，包括針對高風險（L3 等級）App 實施年度不定期抽測，並強化實驗室課責，若App 在通過檢測後短時間內爆發重大已知漏洞，應追究實驗室檢測不實之責，還有建立類似 CVE 的「App 漏洞通報平臺」，強制開發商在時限內修復並公告，否則應撤銷其資安標章。