三立新聞網為了提供更好的閱讀內容,我們使用相關網站技術來改善使用者體驗,也尊重用戶的隱私權,特別提出聲明。
了解最新隱私權聲明 知道了

小遊戲代價大 資安戰從下載APP就開始

中央社
  • A-
  • A
  • A+

「小姐,你剛到XX平台使用XX銀行的信用卡刷2500元買了一組化妝品,卡號是XXXXX,但你設定按錯了喔,變成分期付款,你已經被鎖卡了,你快到家裡附近的ATM處理,不然帳戶內的錢會被扣光。」

網購平台,FaceApp,老化特效,霸王條款,個資保管(美聯社)

▲網路個資外洩陷阱多,要減少被濫用風險,資安專家建議,「好奇心不要太重」,社群網站上一些心理測驗或遊戲APP儘量不要點,並移除不必要的APP,平常就關掉GPS定位,因為「凡走過必留下痕跡」,臉書等社群網站都會記錄一舉一動。(示意圖/美聯社)

從假冒財經部會、銀行官方電話,或是自稱網購平台,向消費者謊稱工作人員作業疏失,只能到ATM處理解除分期付款,或要求匯款到指定帳戶、誘騙到超商買點數等等,電話詐騙手法何其多,台灣民眾已經司空見慣。很多人都想問,「為什麼詐騙集團這麼厲害,對身分證字號、銀行帳號、信用卡號碼、住址,甚至連買了什麼東西,都一清二楚?」

資安公司賽門鐵克曾在2017年指出,台灣個資外洩全球是第五,亞洲第一。個資外洩的後果,包括被駭客盯上、帳號密碼被盜、變成詐騙的口袋名單成為肥羊外,更可能被轉賣給有心人士、成為詐騙集團幫兇等,但民眾可能不知道,光是在社群網站上跟風玩「變臉」,就等於主動雙手奉上自己的照片圖庫。APP的個資外洩戰,在使用者按下「允許」時就開始。

變臉APP暗藏霸王條款 用戶主動奉上個資

「FaceApp」是其中一款在網路上十分盛行的手機應用程式,用戶只要上傳照片,就能透過「老化特效」看到老年的自己長什麼樣子,但很多使用者不知道,「FaceApp」內藏霸王條款,條款中明定FaceApp有權保存、修改、散播使用者的所有照片,還可能被拿來作商業用途,未來想刪也刪不掉。

資安專家、台灣賽門鐵克首席技術顧問張士龍對中央社記者表示,在現今的時代,使用者輸入了個人資訊後,確實無法掌握這些資料會流向何處,因此暴露在資訊外流的風險中。但是比起因為系統被攻擊而造成個資外洩,現在不少資料外洩的情況,其實發生在下載APP並授權使用的階段。

不過,以政府現行人力及執行單位的專業領域,難以檢核業者的個資保管方式及嚴謹度,甚至公司倒閉後,也無從追尋「流浪個資」的去處,現階段個資保護不僅只是政府努力方向,消費者的安全意識也得抬頭。

張士龍觀察,現在有許多APP的要求授權內容並不合理,例如手電筒的程式卻要求提供手機通訊錄,或是記帳程式要求取得使用者的所在位置。這些超出合理授權範圍的要求,都會讓使用者的資料暴露於風險之中,根本不需要等到系統被攻擊,資料就在使用者主動按下「下一步」的過程中流了出去。

開發登山紀錄APP「Hikingbook」的新創公司登山書創辦人柯政祥,現在手握1萬5000名山友的資料,他也有類似的看法。他強調,要求合理授權、資料加密與使用優良的雲端服務供應商,都是確保資料不會外洩的方式。

柯政祥以自己開發的Hikingbook為例,由於需要紀錄山友的登山路線、環境與身體狀況,在使用時會要求取得「定位」、「相機」與「健康」功能的權限,但除此之外,跟APP無關的權限就不會要求。「不合理的授權要求,一定有問題。」

資安防護不可能滴水不漏 下載APP先看授權

曾多次協助私人企業進行網路系統安全檢測、修補漏洞的白帽駭客吉米(化名)也說,雖然現在社會大眾已經慢慢提升資安意識,在提供個人資料的時候,多少會謹慎一點,然而在使用APP的觀念上,不管是消費者或開發者,資安意識仍然不足。

吉米觀察,現在有不少企業短期活動的APP採取委外設計的方式,資料的管理與資安品質參差不齊,甚至有的企業在取得他們所需的資料後,並沒有對APP後續控管,導致這些資料被系統開發者掌握或販售。

站在一個開發者的角度,柯政祥認為資安不能只有使用者在意,開發者也有責任確保資料的安全。首先,一定要強化通訊與資料傳輸的加密,如此一來即便資料不幸外洩,也因為加密而無法讀取實際的內容;另一方面,使用Google、Amazon等優良的雲端服務供應商提供的服務,有助於強化保護資料安全。

吉米也認為,現在的時代不存在「滴水不漏」的資安防護,防護與攻擊有來有往,使用者不能只期待不知身分的人會好好保護這些個資。雖然無法掌握自己的個資會流向何方,但在使用APP時至少要花點時間,從下載頁面掌握APP的相關資料,包含開發者、用途等等,至少能過濾掉一些有疑慮的對象。

張士龍指出,現代人的重心已經逐漸從電腦轉移到行動裝置上,對於過往在電腦上訓練出的防護觀念也應該一併轉移,他強調「在電腦上怎麼做,在行動裝置上就該怎麼做。」

不想個資遭濫用 這些重點都要注意

網路個資外洩陷阱多,要減少被濫用風險,資安專家建議,「好奇心不要太重」,社群網站上一些心理測驗或遊戲APP儘量不要點,並移除不必要的APP,平常就關掉GPS定位,因為「凡走過必留下痕跡」,臉書等社群網站都會記錄一舉一動。

張士龍也建議,消費者在下載任何APP之前,應該要對該APP有一定的了解,包含由誰發行、功能是什麼。此外,最好從APP STORE或是Google Play應用程式商店等可信的管道下載。

下載之後,除要確認該APP要求的授權內容與說明是否符合,以及授權內容是否合理外,最好也應安裝可信的開發商提供的防護軟體,藉此強化資安,避免因漏洞或惡意軟體,造成個資外洩的情形。

追蹤三立新聞網 :
大數據推薦
熱銷商品
讀者留言
直播✦活動