號稱擁有300萬住戶、覆蓋1萬個社區的知名智慧社區管理App「智生活(SmaDay)」,今(12)日遭踢爆資安防護嚴重破功。
智生活App宣稱已經通過MAS L3最高等級資安標章,然而,消費者文教基金會(下稱消基會)與國家資通安全研究院(下稱資安院)合作檢測,卻發現智生活安卓(Android)版本竟有高達16項資安項目不合格,用戶的個資與金流權限正面臨極高風險,資安防護形同虛設。
標榜MAS L3最高標章 安卓版竟驗出16項漏洞
「智生活」App功能涵蓋包裹代收、繳費通知、居家清潔及家電維修預約,掌握了大量住戶的生活數據與支付習慣。
然而,消基會委託資安院於2025年第一季進行初測時,就發現多項缺失,由於恰逢該軟體大改版至4.0.0,因此等候半年以上,在軟體穩定後進行第二次驗測,結果版本v4.13.0卻出現更多的不通過項目。
最終檢測報告顯示,共有16項未通過,其中包含9項L1(初級)、4項L2(中級)及3項L3(高級)項目,顯示其資安防護網已出現巨大破口。
個資恐「裸奔」 揭露三大高風險缺失
根據檢測報告,這16項漏洞主要將導致三大類型的嚴重風險,讓用戶宛如在網路上「裸奔」,該App的用戶可能有以下的資安與隱私風險,包括:
1. 個資外洩:由於程式碼與日誌檔未落實加密或清理,駭客可輕易從手機暫存中竊取您的敏感資訊。
2. 交易攔截:缺乏交易時的再次驗證與防覆蓋保護,攻擊者可透過偽裝介面誘導入坑,或在背景側錄您的輸入動作來盜取金流權限。
3. 管理缺失:隱私宣告不全且連線識別碼(Session)容易被預測,增加了帳戶連線被劫持的風險。
「重售前、輕售後」 資安認證恐淪為商業包裝
為何擁有最高等級標章的App會出現如此多漏洞?消基會董事長鄧惟中分析,目前App資安認證制度呈現「重售前、輕售後」的失衡,MAS標章僅代表「單一時間點」的切片檢查合格,一旦App通過檢測上市,後續頻繁的版本更新往往缺乏強制重測機制。
消基會監察人卓政宏直言,這導致許多掛著資安標章的App,內部可能早已充斥未修補的漏洞,標章反而成為誘導消費者放下戒心的偽裝,甚至變成「付錢買合格證書」的商業行為。
資安院副院長龔化中也指出,若在歐盟,此類情況廠商需在24小時內解決,否則將面臨取消標章、禁售或巨額罰款,台灣亟需建立類似的後市場監督機制。
用戶自保三招:權限隔離、不綁高額信用卡
在政府建立完善的「抽驗與追蹤」機制前,消基會建議現有「智生活」用戶採取以下三步驟自保:
1. 系統層級「權限隔離」:到手機的設定頁面,盡可能最低限度的打開該App的存取權。
2. 針對「金流與交易」的防護:不綁定高額信用卡,也不要開啟自動儲存密碼功能。
3. 避免「敏感資料殘留」:建議頻繁清理該App的「快取資料」。若要更換手機,務必先在App內點擊「登出」,隨後「卸載App」。
智生活:嚴格把關資安 正釐清檢測內容
根據《TVBS新聞網》報導,智生活表示,很感謝消基會的檢測與提醒,資安的確不是一次性的檢驗可以全面防護,目前正在全面盤點各項疑慮及檢驗標準,將儘快進行全面性的更新以在提供便利服務的同時,以最高標準捍衛每一位住戶的資訊安全。
智生活強調,內外部都有嚴格的機制,內部資安維護和把關都很認真,並未發生可能的狀況,智生活是以戶別為單位,不會取用客戶個資、身分證字號等敏感個資。