消基會日前招開記者會指出台灣智慧社區市占率高的「智生活APP」經檢測後,其最新Android版(版本v4.13.0)仍有16項資安漏洞,可能導致用戶面臨個資外洩、被盜取金流權限、加密資訊洩漏等3大隱私風險。消基會指出多數App取得認證標章後,缺乏定期抽驗機制,呼籲數發部針對高風險App實施不定期抽驗,以維護民眾資安保障。
「智生活」APP最新安卓版出現哪些資安漏洞呢? 以下做一整理:
消基會2026/2/12召開記者會指出宣稱達1萬個社區、300萬住戶的「智生活」(SmaDay)智慧社區APP雖宣傳該應用軟體已經通過MAS L3最高等級資安標章,經消基會與國家資通安全研究院對於Android版先後進行兩次檢測,發現智生活App有多項檢測項目未通過。不過,智生活在消基會召開記者會後也立即推出更新版並發出官方聲明。
1.消基會說法:
消基會指出「智生活APP」最新送測的Android版(版本v4.13.0)出現共計16項不通過項目,包含9項L1、4項L2和3項L3項目不通過。 使用該安卓版的App的用戶可能有以下的資安與隱私風險:
A.個資外洩(4.1.2.x 系列):由於程式碼與日誌檔未落實加密或清理,駭客可輕易從手機暫存中竊取您的敏感資訊。
B.交易攔截(4.1.3.x / 4.1.5.1.3):缺乏交易時的再次驗證與防覆蓋保護,攻擊者可透過偽裝介面誘導入坑,或在背景側錄您的輸入動作來盜取金流權限。
C.管理缺失(4.1.1.x / 4.1.4.x):隱私宣告不全且連線識別碼(Session)容易被預測,增加了帳戶連線被劫持的風險。
消基會呼籲,若民眾使用「智生活APP」,可透過以下幾點降低自身風險:
A.系統層級的「權限隔離」:請至手機的設定頁面,盡可能最低限度的打開該App的存取權。
B.針對「金流與交易」的防護:不綁定高額信用卡,也不要開啟自動儲存密碼功能。
C.避免「敏感資料殘留」:建議頻繁清理該App的「快取資料」。若要更換手機,務必先在App內點擊「登出」,隨後「卸載App」。
由於台灣行動App的資安防禦呈現「重售前、輕售後」的病態失衡,消基會呼籲數發部必須要建立更完善的後市場治理架構,包含針對高風險(L3等級)App實施年度不定期抽測、若App在通過檢測後短時間內爆發重大已知漏洞應追究實驗室檢測不實之責、建立類似CVE的「App漏洞通報平台」強制開發商在時限內修復並公告否則應撤銷其資安標章。
2.智生活官方說明:
針對外界關切與疑慮, 智生活科技秉持資安動態治理原則, 已於2/15及2/16發布 V4.13.1版本的Hhotfix更新,並自2月13日起已啟動 Android 與 iOS 雙平台、雙版本之全盤交叉檢核,並依資安持續改善機制擴大檢核範圍,強化版本差異比對與風險控管;我們將以可驗證的修補與第三方驗證結果對外負責。目前已啟動實質處置如下:
A.個資保護與風險降低措施:
已全面盤點並強化主要通訊流程採用業界標準傳輸層加密(TLS),並持續強化敏感資料保護機制;同時加強手機端敏感資料視覺遮罩,以及螢幕擷取提醒/覆蓋風險之防護設定,以降低資訊暴露風險,上述措施將由第三方複測驗證修補措施之有效性。
B.系統環境與日誌治理:
系統端已啟動環境分離與權限控管強化,關閉非必要除錯/測試設定,並依最小權限原則調整日誌等級,以降低不必要的暴露面,提升環境控管強度與可稽核性。
C.交易安全與主動通知:
信用卡交易由符合 PCI DSS 的第三方金流服務處理;本系統不保存完整卡號與 CVV,僅依支付流程需要保留必要交易識別資訊(如 token/末四碼/交易序號)。另已優化交易通知與紀錄查詢流程,提升用戶即時掌握交易資訊的透明度與可追溯性,提升交易風險控管強度。
D.隱私管理:
落實「資料最小化」原則,已啟動權限必要性檢核,將非必要權限移除或調整為情境式請求;並同步於應用程式商店強化資料蒐集之透明揭露,保障用戶知情權。
E.MAS Level 3 版本差異查核與第三方驗證:
針對外界提出之 MAS 高等級App 資安標章 Level 3 的版本差異(v4.1.0 與 v4.13.0),我們已啟動逐條重現與差異比對,我們不以版本差異作為推託,而是以 v4.13.0(及修補後版本)作為主要驗證基準,逐條重現並釐清差異原因,同時委託第三方驗證公司進行複測驗證修補成效;結果將依驗證進度,分階段對外公布修補完成狀態與驗證摘要。
智生活APP爆資安疑慮說明與最新處理進度詳見智生活官網。