數位發展部資通安全署(資安署)今日(5月27日)召開記者會,公布對高德地圖、嗶哩嗶哩(Bilibili)、愛奇藝(iQIYI)及BIMOBIMO等四款中國App的資安檢測結果。
這次檢測由國家資通安全研究院(資安院)執行,採用黑箱方式,直接從Google Play及Apple App Store的官方平臺下載民眾常用的中國App版本,透過反組譯與開源檢測工具進行分析,涵蓋四大使用者核心風險、共十五項檢測指標。
此次的檢測結果顯示,高德地圖在Android平臺驗出高達十一項高風險行為,iOS平臺也有八項,是本次檢測中風險最高的應用程式。
而同樣是地圖導航類App,Google Maps在相同的測試框架下,卻未發現高德地圖最具爭議的行為,尤其在使用者未主動操作的情況下,高德地圖會「主動擷取剪貼簿」內容。這項差異清楚揭示使用中國製導航App後,其潛在代價已遠遠超過一般人的認知。
從合法的應用程式商店,下載四款中國App進行檢測
黑箱檢測是怎麼做的?資安院表示,此次檢測並非取得App的原始碼後進行白箱審查,而是採用黑箱方式。資安院技術人員直接從官方應用程式商店下載App的安裝檔(Android的APK與iOS的IPA),再嘗試對其進行反組譯,並搭配多套開源資安檢測工具,分析程式碼是否存在敏感的API呼叫、過度申請的系統權限,以及異常的外部網路連線行為。
這種方式的限制在於,檢測人員無法取得完整的原始碼細節,因此某些行為的觸發條件與頻率仍難以完全還原。例如,高德地圖被發現具備讀取剪貼簿的能力,但究竟是哪一個功能觸發了這個行為、觸發頻率是否固定,目前仍無法完全確定。
儘管如此,資安院已透過實際執行環境,確認高德地圖在系統層面「曾觸發剪貼簿讀取」的系統警示,Android手機會跳出提示,告知使用者「高德地圖已存取剪貼簿」。
相較之下,Google Maps面對相同測試條件時,並未觸發此類系統警示,也未被發現有主動讀取剪貼簿的行為。資安院指出,這是一個關鍵的「越線」差異——剪貼簿並非Android系統對地圖類App的標準授權範疇,高德地圖此舉,顯示其存在超出核心功能所需、過度蒐集使用者資料的傾向。
同是地圖App,高德與Google Maps的關鍵差距
高德地圖與Google Maps同屬地圖導航類應用程式,功能訴求高度相似,都需要存取使用者的地理位置。然而,資安院的比較測試,揭示兩者在資料蒐集行為上的本質差異。
在Android平臺,高德地圖被檢出共十一項高風險行為,涵蓋持續讀取地理位置、讀取剪貼簿、讀取影音或即時影像、讀取麥克風、讀取通訊錄、讀取行事曆、讀取健康紀錄、讀取儲存空間、讀取裝置識別碼、於關閉狀態下對外傳輸資料,以及將資料傳輸至中國境內伺服器等。Google Maps則未發現上述多項行為,尤其是剪貼簿的主動截取。
導航App需要位置權限,但地圖應用App為何需要讀取使用者的健康紀錄?為何需要存取通訊錄?為何需要在App完全關閉後,仍持續對外傳輸資料?這些問題,是評估高德地圖是否「越線」的核心所在。
資安署署長蔡福隆直言,高德地圖「要求存取與核心功能無關之敏感權限,可能涉及過度蒐集個資,並增加資料外洩、行為追蹤及個資被濫用之風險」。
資安署主任李昱緯也提醒,「剪貼簿」的風險尤其值得關注,因現代人習慣從密碼管理器「複製」帳號密碼、從網頁「複製」信用卡卡號,或複製銀行的一次性驗證碼(OTP)。
李昱緯認為,一旦這些敏感資訊存在剪貼簿中,高德地圖便能在使用者不知情的狀況下,讀取這些內容;即使使用者完全沒有在App內進行任何「貼上」操作,系統仍可能跳出「高德地圖已存取剪貼簿」的警示。
Android看似風險高,高風險App仍可合理繞過iOS限制
本次資安署檢測中國App時,同時涵蓋Android與iOS雙平臺,結果顯示整體Android用戶面臨的風險明顯高於iOS用戶,但這並不代表iPhone用戶可以高枕無憂。
在Android平臺,高德地圖驗出十一項高風險指標;iOS平臺則為八項,這些差異主要集中在兩個方面:其一是「讀取使用者的剪貼簿」——此行為在Android版本被檢出,但iOS版本未被檢出;其二是「於關閉狀態下對外傳輸資料」——同樣僅在Android版本被觸發。
上述差異根源於iOS系統底層架構的設計哲學,當蘋果手機使用者將App切換至背景或退出介面時,iOS會在數秒內切斷該App的CPU運算能力與網路存取權限,使其進入完全休眠的「假死」狀態。這意味著,即便App的程式碼內建背景傳輸指令,iOS的系統層限制也使其難以運作。
此外,iOS採用統一的推播通知服務(APNs),所有App的訊息推播都必須透過蘋果官方伺服器中轉,App本身無法自行建立持續的背景連線;再加上嚴格的沙盒(Sandbox)隔離機制,每個App都被限制在各自獨立的環境中,無法直接讀取其他App的資料,也無法互相「喚醒」,因此,切斷了中國高風險App家族常見的「聯動喚醒」與「寄生常駐」手段。
然而,iOS用戶並非毫無風險。在本次檢測中,四款中國App的iOS版本,全數被驗出「讀取使用者的影音或即時影像」、「讀取裝置的識別碼」,以及「將資料傳輸到中國境內伺服器」。
其中,愛奇藝、嗶哩嗶哩和BIMOBIMO的iOS版本,皆被發現讀取使用者的健康紀錄——這對任何影音娛樂或聊天軟體而言,同樣是完全超出合理使用範疇的行為。
中國依照「網絡安全法」及「國家情報法」規定,可要求企業將用戶資料及數據 提供給國安、公安及情工部門,恐使國人個資遭中國特定單位蒐集及運用;若資 料在管理或流通過程中外洩或流入不法市場,可能遭犯罪集團利用於AI詐騙。
圖片來源:Gimini產出
高德地圖:檢出十一項高風險,完整建立數位足跡
高德地圖是本次檢測風險最高的應用程式,其超出核心功能的資料蒐集行為最廣泛。
除了前述的剪貼簿問題,高德地圖在檢測時被發現,會持續讀取並記錄使用者的行動軌跡,包括:即時定位位置、歷史位置紀錄、常去地點、幾點出門、多久抵達目的地,以及在特定地點停留了多久。
李昱緯表示,這些資訊被整合後,足以建立關於使用者活動範圍與生活習慣的完整「數位足跡」,進而對人身安全構成潛在威脅。試想,若一名商務人士或政府官員使用高德地圖,其每日的行程規律、常去的機密場所,都可能被系統性地記錄並傳往境外。
此外,高德地圖在背景持續讀取影音、即時影像及麥克風的權限,意味著:即便使用者並未主動開啟錄音或錄影功能,App也可能在背景側錄周遭的聲音與影像。
這對於某些正在進行商業會議的企業人士而言,或在家中與親人閒話家常的一般民眾,都構成了隱私洩漏的隱憂。
他也提醒,倘若這些聲音與面部影像資料不幸流入黑市、暗網等不法市場,結合當前生成式AI技術,極易被用於製作深偽(Deepfake)影片,可能成為詐騙其親友或企業財務人員的素材。
嗶哩嗶哩與愛奇藝:影音平臺背後的行事曆竊探
嗶哩嗶哩與愛奇藝這兩款熱門影音串流平臺,前者在Android平臺驗出八項高風險指標,後者則有七項;在iOS平臺則各有六項。
其中最值得注意的是,這兩款App都被發現:會讀取使用者的行事曆或待辦事項,並讀取剪貼簿;同時,在關閉狀態下,也能對外傳輸資料,且將資料傳輸至中國境內伺服器。
用來看影片的App,為何需要查看用戶的行事曆?這兩款App蒐集使用者的日常行程、生活習慣,乃至剪貼簿暫存的帳號密碼,甚至是信用卡等資訊,都可能在使用者毫不知情的情況下遭到蒐集,並傳往中國。
其中,嗶哩嗶哩的Android版本,還被發現會讀取使用者的麥克風,意味著:即便只是在手機上看影片,背景的麥克風可能仍在運作。
BIMOBIMO:精準低調情蒐,鎖定裝置識別碼
聊天軟體BIMOBIMO在兩個平臺的風險項目數量最少,Android有五項、iOS也有五項,乍看之下似乎相對安全。但若進一步分析,BIMOBIMO反而精準鎖定幾個殺傷力最強的核心目標,包括:讀取儲存空間(系統檔案及資料)、讀取裝置識別碼,以及將資料傳輸至中國境內伺服器。
裝置識別碼如同每一臺手機的唯一身分證,一旦這個識別碼被掌握,對方就可以在雲端資料庫中,將不同App蒐集到的各類個人資料進行「身分關聯」(Device Fingerprinting),就可以拼湊出使用者完整的隱私輪廓。
若進一步結合儲存空間中可能存有的個人聲音、影像資料,以及對方已掌握的裝置識別碼,李昱瑋提醒,犯罪集團便可能利用這些資源,對使用者本人或其社交圈發動高度客製化的AI深偽詐騙攻擊。
中國法規是最根本風險,任何中國App資料都可依法被中國政府調取
撇開上述具體的技術風險,有一個結構性問題是所有中國App共同面對的——中國政府依照《網絡安全法》及《國家情報法》的規定,可以要求在中國境內營運的企業,將其蒐集的用戶資料提供給中國的國家安全、公安及情報工作部門。
這意味著,只要一款App的背後是中資企業,且其伺服器座落於中國境內,無論該App在技術上的資料蒐集行為是否已超出合理範疇,使用者的資料,最終都面臨可能被中國政府「合法調取」的風險。
而且,以本次檢測的四款App為例,全數被確認會將資料傳輸至中國境內伺服器,李昱緯表示,這個法規面帶來的根本風險,對每一位使用中國App的用戶,都是真實存在。
蔡福隆指出,依據臺灣《資通安全管理法》的規定,公務機關不得下載、安裝或使用高德地圖、嗶哩嗶哩、愛奇藝及BIMOBIMO等危害國家資通安全的中國App,且公務機關配發供業務使用的手機與筆電,同樣禁止安裝這些App。
資安署推三大資安防護原則,可手動設定進階安全權限
如何降低行動裝置App使用的資安風險?資安署提供三項基本的資安防護原則。第一,在安裝App前,應詳細閱讀其隱私權政策,確認App如何蒐集、使用及傳輸個人資料;第二,在授權App權限前,應仔細確認每一項權限要求是否與該App的核心功能相符。例如,一款導航地圖App若要求存取通訊錄,便是明顯不合理的要求,應定期檢視手機設定並關閉不必要的權限,同時刪除不再使用的App。第三,安裝手機資安防護軟體或工具,偵測異常行為,強化手機安全防護。
對於Android用戶而言,由於系統底層架構較為開放,提升資安風險的防護需要更主動的操作。若因特殊需求不得不使用這類App,建議可以在手機系統設定,強制手動關閉「背景資料傳輸」與「背景執行」權限,並啟用「不使用時,暫停App活動」功能。
由於中國App對剪貼簿的情蒐行為尤其積極,資安專家也建議,使用者可以養成一個習慣:在複製帳號密碼、信用卡卡號或任何敏感文字後,隨手再複製一段無意義的空白字元,覆蓋掉剪貼簿中的敏感資料,降低被截取的風險。
雖然iOS的底層架構已提供相當程度的防護,但仍可以手動確認幾個關鍵設定,達到更嚴密的防護效果。
首先,針對「區域網路」權限,許多App會以「連接智慧家電」為藉口要求這項權限,實際上,此舉可能是用來掃描家中或公司Wi-Fi網域內的其他裝置,進行環境情蒐。
建議可以至「設定→隱私權與安全性→區域網路」,關閉影音、社群類App的此項權限,這不會影響正常上網與影片觀看。
其次,關於「照片」存取權限,預設選項往往是「允許存取所有照片」,但這等於讓App有機會掃描整個相簿,包括可能包含密碼、身分證或信用卡資訊的截圖。
建議所有iOS使用者可至「設定→隱私權與安全性→照片」,針對高風險App,將存取範圍限制為「選取的照片」。
第三,關於「地理位置」的精準度,即便必須授予位置權限,也可以至「設定→隱私權與安全性→定位服務」,進入該App的設定,將「準確位置」的開關關閉。關閉後,App只能得知使用者大約在哪個行政區,而無法精準定位到街道與門牌。
第四,關於剪貼簿的防護,iOS允許使用者控制App存取剪貼簿的行為。建議iOS使用者進入「設定」,找到該App的專屬設定頁面,將「從其他App貼上」的選項,從「詢問」改為「拒絕」,強制阻斷App讀取剪貼簿的行為。
最後,建議至「設定→隱私權與安全性→追蹤」,直接關閉「允許App要求追蹤」,防止App讀取廣告識別碼(IDFA),阻斷其與其他App聯手建立使用者完整行為輪廓的能力。
中國App安裝在單獨手機,企業推MAM區隔公司與私人生活
對於在工作或生活中「不得不使用」這類App的情境,例如需要與中國大陸地區的客戶或親友保持聯繫,蔡福隆建議,可以採用「物理隔離」的方式,準備一支專用的備用手機,專門安裝這類高風險App,並且不在該手機上存放任何工作資料、不登入任何公司帳號、不連接公司內部網路。他表示,如此一來,即便該手機遭到資料蒐集,也無法成為企業資安防線的破口。
此次資安署的檢測報告,著重在對一般民眾的提醒,但對企業而言,同樣存在一個容易被忽視的隱患,意即:許多企業允許員工使用個人手機(Bring Your Own Device,BYOD)存取公司郵件與內部系統。
如果員工的個人手機安裝這些中國高風險App,而這支手機同時連接著公司的企業內部網路,或透過VPN存取公司伺服器,這些App所具備的「跨App資訊存取」與「擷取系統資訊」能力,便可能成為滲透企業資安防線的跳板。
蔡福隆表示,包括商業機密、企業通訊錄、乃至開發中的產品原始碼,都可能透過一支安裝了高風險App的員工個人手機,透過「合法授權」的管道悄悄外流,造成供應鏈安全的連帶信任危機。
有鑑於此,資安專家建議,企業資安主管可以考慮推動行動應用管理(MAM)技術,在手機的作業系統底層,對員工手機的「個人生活區」與「公司公務區」進行隔離,可以確保公務資料無法被跨App讀取,同時建立合理的行動裝置App 稽核機制與白名單制度。
蔡福隆表示,此次檢測四款中國App的起點,是今年四月二十三日行政院院會後的記者會,當時已針對高德地圖的資安疑慮提出說明,並宣布將委託國家資通安全研究院進行全面技術檢測。如今,檢測結果也驗證了當時的資安疑慮。
對於一般民眾而言,面對這類「合法權限掩護隱蔽傳輸」的App行為,最直接的自保之道,就是在非必要的情況下,避免下載與使用來自中國的App;若有使用需求,則按照上述的防護原則,盡可能限縮這些App能夠存取的個人資訊範圍。
數位發展部資通安全署署長蔡福隆指出,依據臺灣《資通安全管理法》的規定,公務機關不得下載、安裝或使用高德地圖、嗶哩嗶哩、愛奇藝及BIMOBIMO等危害國家資安全的中國App,且公務機關配發供業務使用的手機與筆電,同樣禁止安裝這些App。
攝影 ∕ 黃彥棻
數位發展部資通安全署主任李昱緯表示,以本次檢測的四款中國App為例,全數被確認會將資料傳輸至中國境內伺服器,而中國政府依法可要求在中國維運的App提供所需資訊的法規面風險,對每一位使用中國App的用戶,都是真實存在。
攝影 ∕ 黃彥棻攝
