立即訂閱
今年2月《iThome》報導智慧社區使用的行動應用程式「智生活(SmaDay)」App有洩漏用戶個資,繳費金流遭攔截,及連線階段(Session)遭挾持的資安風險。
根據消基會公佈的調查,該App最新的安卓版本4.13.0經國家資通安全研究院(資安院)檢測,竟有多達16個資安檢測項目未通過,涉及用戶個資處理、信用卡資料管理、網路連線的安全等嚴重問題。
該App目前有一萬個社區採用,涵蓋三百萬住戶,其潛在的資安風險不容忽視。然而,廠商對外標榜該App通過行動應用資安標章(MAS)最高等級L3。問題核心在於,當初送審通過的安卓版本為4.1.0,而目前上架版本未曾申請檢測。
換言之,標章的期效僅代表「某個送檢版本合格」,但不代表現行版本符合標準。這種資訊揭露不完整的情況,極易誤導民眾,使其在不知情下暴露於風險中,就如同食品更改配方成分後卻仍沿用舊有的食安檢驗標章。
鑑於此App的使用範圍廣泛,有不少政府官員家庭社區皆使用,資安風險相對高,資安院接獲舉報後主動進行檢測,才發現不少資安缺失。這事件凸顯部份資訊服務廠商在產品進入市場後,未善盡業者保護客戶個資的責任,未持續落實對民眾個資的防護。
業者初次將產品送測,以取得安全標章,作為產品的行銷宣傳依據,但對後續更新版本是否合規,已不再是考量標的,這與政府當初設立安全檢測標章之立意違背。若廠商未能明確揭露產品安全標章適用之標的與範圍,民眾將難以判斷產品是否真正安全,若政府相關單位監督機制未臻周全,民眾權益將難以確保。
政府各機關提供之行動化服務,依《行政院及所屬各機關行動化服務發展作業原則》第十一條規定,應符合個資法及資通安全管理法,並通過數位發展部數位產業署訂定之檢測項目。
數產署為落實該規範,委由「行動應用資安聯盟」建立檢測制度,負責資安檢測認證機制之執行及推廣,而實際檢測工作則由通過TAF等相關單位認證之「檢測實驗室」負責執行。政府部門提供之App依規定都必須通過資安檢測,但民間業者開發的App則無強制性。檢測通過者可獲核發「安全驗證標章」(MAS標章)有效期一年,並於MAS官網公告。
建立檢測實驗室、行動App與物聯網設備安全標章之設計,是政府提升網路交易環境安全與相關產業發展的第一步,但在檢測流程與品質確保等制度設計上缺乏有效監管。市場上公開運行的App或網通設備,並未全面進行檢測,而且對通過檢測之產品,並未進行抽驗或追蹤更新版本安全性,資安標準難以落實。
讓資安標章真實反映產品安全狀態
隨著行動應用快速普及,資安風險已延伸至日常生活,如何確保坊間運行的App、消費性電子產品之安全,維護消費者權益,政府責無旁貸。
為維護數位環境的安全,建議比照食安法,對市面上流通之消費性電子產品、網路攝影機等物聯網設備,建立更明確的安全標章制度與產品履歷揭露規範,公告產品檢測結果與標章適用版本。
同時,建立監理制度,設置專責單位,由「資安稽查員」定期對市面上流通的電子產品或設備,抽驗有無違禁添加物(如惡意病毒、後門程式),或不當洩漏用戶個資之漏洞,對查獲有資安風險或危害民眾安全的產品或服務,訂定罰則及限期改善之措施。
並且,建立透明的資安漏洞通報機制,並追蹤產品修補進度,導入獨立驗證與確認(IV&V)機制,加強對資安檢測實驗室之監督與課責,確保檢測品質與標章公信力。
最後,鼓勵民眾據實舉報具有危害民眾個資外洩之產品或行動化服務,若取得標章的產品被舉報有重大漏洞,則需追究實驗室檢測品質是否存在缺失之責任,讓數位交易環境安全更臻完善,保障人民免於個資外洩、數位資產損失之恐懼的權益。
智生活事件提醒我們,若資安標章缺乏持續監管與更新驗證,其效果將大打折扣,讓標章真正反映產品持續的安全狀態,將是發展安全可信賴的數位環境不可或缺的重要課題。
(作者為中研院院士,資創中心、資訊所客座講座,曾任中興大學校長。曾子軒採訪整理)