消基會日前招開記者會指出台灣智慧社區市占率高的「智生活APP」經檢測後,其最新Android版(版本v4.13.0)仍有16項資安漏洞,可能導致用戶面臨個資外洩、被盜取金流權限、加密資訊洩漏等3大隱私風險。消基會指出多數App取得認證標章後,缺乏定期抽驗機制,呼籲數發部針對高風險App實施不定期抽驗,以維護民眾資安保障。
「智生活」APP最新安卓版出現哪些資安漏洞呢? 以下做一整理:
消基會2026/2/12召開記者會指出宣稱達1萬個社區、300萬住戶的「智生活」(SmaDay)智慧社區APP雖宣傳該應用軟體已經通過MAS L3最高等級資安標章,經消基會與國家資通安全研究院對於Android版先後進行兩次檢測,發現智生活App有多項檢測項目未通過。
消基會指出「智生活APP」最新送測的Android版(版本v4.13.0)出現共計16項不通過項目,包含9項L1、4項L2和3項L3項目不通過。 使用該安卓版的App的用戶可能有以下的資安與隱私風險:
1.個資外洩(4.1.2.x 系列):由於程式碼與日誌檔未落實加密或清理,駭客可輕易從手機暫存中竊取您的敏感資訊。
2.交易攔截(4.1.3.x / 4.1.5.1.3):缺乏交易時的再次驗證與防覆蓋保護,攻擊者可透過偽裝介面誘導入坑,或在背景側錄您的輸入動作來盜取金流權限。
3.管理缺失(4.1.1.x / 4.1.4.x):隱私宣告不全且連線識別碼(Session)容易被預測,增加了帳戶連線被劫持的風險。
消基會呼籲,若民眾使用「智生活APP」,可透過以下幾點降低自身風險:
1.系統層級的「權限隔離」:請至手機的設定頁面,盡可能最低限度的打開該App的存取權。
2.針對「金流與交易」的防護:不綁定高額信用卡,也不要開啟自動儲存密碼功能。
3.避免「敏感資料殘留」:建議頻繁清理該App的「快取資料」。若要更換手機,務必先在App內點擊「登出」,隨後「卸載App」。
由於台灣行動App的資安防禦呈現「重售前、輕售後」的病態失衡,消基會呼籲數發部必須要建立更完善的後市場治理架構,包含針對高風險(L3等級)App實施年度不定期抽測、若App在通過檢測後短時間內爆發重大已知漏洞應追究實驗室檢測不實之責、建立類似CVE的「App漏洞通報平台」強制開發商在時限內修復並公告否則應撤銷其資安標章。