智慧社區市佔率高智生活App曝16項重大資安漏洞！用戶面臨個資外洩風險

近期，消費者保護協會（消基會）召開記者會揭露，市場佔有率高的「智生活」智慧社區 App 在最新 Android 版（版本 v4.13.0）中存在著 16 項重大資安漏洞，這些問題可能使用戶的個人資訊暴露在外，甚至導致金流權限被盜取。消基會呼籲政府相關部門應建立更完善的後市場治理機制。

根據消基會與國家資通安全研究院的檢測結果顯示，「智生活」App 在最新版本中出現了多個未通過的安全標準項目。其中，包括 9 項 L1、4 項 L2 和 3 項 L3 級別的不通過項目。此情況意味著使用該版 App 的用戶可能面臨以下風險：

首先，個人資訊外洩（4.1.2.x 系列）：由於程式碼與日誌檔未落實加密或清理，攻擊者可以輕易從手機暫存中獲取敏感資訊。

其次，交易攔截（4.1.3.x / 4.1.5.1.3）：缺乏交易時的再次驗證與防覆蓋保護，攻擊者可能通過偽裝介面誘導用戶或在背景側錄輸入動作來盜取金流權限。

再者，管理缺失（4.1.1.x / 4.1.4.x）：隱私宣告不全且連線識別碼容易被預測，增加了帳戶聯網被劫持的風險。

消基會建議用戶可採取以下措施降低使用「智生活」App 所帶來的風險：

1. 系統層級的權限隔離：在手機設定頁面中盡可能限制 App 存取權限。 2. 針對金流與交易的防護：避免綁定高額信用卡，也不開啟自動儲存密碼功能。 3. 避免敏感資料殘留：定期清理 App 快取資料，必要時先點擊「登出」並卸載 App。

消基會指出，台灣行動應用程式的資安防禦存在著「重售前、輕售後」的問題。因此，呼籲政府相關部門應建立更完善的後市場治理機制，對高風險 App 進行不定期抽測。若 App 通過檢測後短時間內爆發重大已知漏洞，則應追究實驗室檢測不實之責。此外，建議建立類似 CVE 的「App 漏洞通報平台」，強制開發商在時限內修復並公告，否則撤銷其資安標章。