数发部提醒,依今年12月正式上路的资安法新制,政府机关与公务设备均不得下载或使用相关App;一般民众若需安装,也应提高警觉、确认权限合理性,以避免成为精准诈骗的目标。
数发部次长叶宁表示,App早已深入民众生活,但越来越多服务会要求取得相簿、麦克风、定位等敏感权限,使手机内的影像、声音、信用资料可能在不知情下外泄。更关键的是,这5款App的营运环境位于中国,而中国《网络安全法》与《国家情报法》赋予政府机关要求企业提供使用者资料的权力,因此国人资料无论来源,都可能被调取并被用于诈骗情境,叶宁建议民众尽量避免安装与使用,是最有效的风险管理方式。
资安署署长蔡福隆进一步指出,5款受测App均会将资料回传至中国,且测试中发现多项逾越必要范围的权限行为,包括读取储存空间、搜集位置与通讯录、分析使用习惯,甚至掌握脸部与声纹等生物特征。其中小红书违规达15项最多,微博与百度云盘各13项。若使用者曾将信用卡号、身分证资料复制到剪贴簿,也可能被App读取,形成盗刷与冒名风险。
蔡福隆提醒,这些资讯若被回传至中国伺服器,再加上诈骗集团掌握使用者安装哪些外送、购物或旅游App,便能进行「伪客服」与「精准诈骗」的攻击。例如假冒外送平台通知退款、或冒用使用者脸部影像制作深伪影片欺骗亲友,都是近年常见的攻击手法。
依今年9月14日公布、12月1日正式施行的资通安全管理法,公务机关不得下载、安装或使用这些危害资安的App,公务设备(手机、笔电)同样禁止使用;政府网路(如GSN)也不提供这5款App的传输服务。叶宁表示,这是政府采取的最高标准防护作法,但对一般民众仍以「提醒与风险沟通」为主,不会限制安装自由。
针对民众如何自保,数发部提出三点建议:首先,安装前务必详阅隐私条款,确认资料储存位置是否在中国、是否会分享给第三方;其次,检查权限是否合理,若导航App要求读取健康资料、或云端硬碟要求麦克风权限,都应直接拒绝;第三,善用防毒软体与电信业者提供的网路防护服务,如阻挡恶意网站、侦测钓鱼网址与过度权限App。
会后媒体提问也聚焦校园是否全面禁用,以及是否会针对民间祭出更严格规范。针对校园部分,教育部目前已在各级学校的学术网路封锁TikTok;至于一般民众,叶宁表示台湾是网路自由国家,不会限制民间使用,但政府有责任提供「资安警示」,让国人自行评估风险。
数发部最后强调,App的便利性与风险并存,一旦资料遭恶意利用,可能衍生金融诈骗、社交工程与深伪影像等重大影响。提醒民众在安装前提高警觉、定期检查权限、避免使用高风险App,才能真正守护自身资安。
點擊閱讀下一則新聞
