作者EPIRB406 ()
看板Gossiping
标题Re: [新闻]中制App如何验风险?数发部公开检测标准 1
时间Wed May 27 15:50:38 2026
※ 引述《johnny9667 (大八)》之铭言:
: 1.媒体来源:
: LTN
: 2.记者署名:
: 记者邱巧贞/台北报导
: 3.完整新闻标题:
: 中制App如何验风险?数发部公开检测标准 15项风险一次看
: 4.完整新闻内文:
: https://img.ltn.com.tw/Upload/business/page/800/2026/05/27/5451414_1.jpg
: 在Android系统部分,高德地图在15项风险项目中,被检测出高达11项高风险项目。(截
: 自简报)
: 〔记者邱巧贞/台北报导〕中国导航App「高德地图」近期在台湾引发资安争议,数位发
: 展部今(27)日召开记者会,公布中国制App资安检测结果。
: 资通安全署(下称资安署)署长蔡福隆表示,行政院早在4月底院会後记者会中,就已针
: 对高德地图可能涉及的资安风险进行说明,并由国家资通安全研究院针对相关App展开检
: 测。此次除高德地图外,也同步检测影音平台「哔哩哔哩(bilibili,简称B站)」、「
: 爱奇艺(iQIYI)」及聊天软体「BIMOBIMO」等4款中国制行动应用程式(App)。
: 资安署主任李昱纬指出,现代人日常生活中,广泛使用通讯、影音、交友与购物等各式
: App,虽然带来便利,但背後其实隐藏许多看不见的风险。他形容,这些风险就像冰山一
: 样,表面看似正常,但水面下可能存在大量隐藏问题,包括在使用者不知情情况下,读取
: 个人资料、手机装置资讯、剪贴簿内容,甚至异常传输相关资讯。
: 因此,数发部进一步针对中国制App进行相关检测。为了真实反映民众可能面临的资安威
: 胁,这次采取客观技术检测方式,直接从Google Play与Apple App Store等官方平台下载
: 民众常用的中国制App进行测试。
: 本次检测涵盖「4大核心风险」与「15项检测项目」,希望揭露相关资安风险,提醒民众
: 尽量避免使用高风险App。
: https://img.ltn.com.tw/Upload/business/page/800/2026/05/27/5451414_2.jpg
: 在iOS系统部分,高德地图同样达到8项高风险项目,此外,不论是iOS或Android系统,这
: 4款App都出现共同情况,就是会「将资料传输至中国境内伺服器」。(截自简报)
: 首先是「读取使用者操作行为」,也就是即时行为监测,共包含5项检测内容,像是检测
: App是否持续读取使用者定位资讯、偷偷读取剪贴簿与萤幕资讯,甚至在使用者不知情的
: 情况下,启用影音、摄影机与麦克风等权限。相关检测项目包括:
: 1.持续读取使用者的地理位置
: 2.读取使用者的剪贴簿
: 3.读取使用者的萤幕资讯
: 4.读取使用者的影音或即时影像
: 5.读取使用者的麦克风权限
: 第二大核心风险则是「读取其他App中的资料」,也就是跨App资讯存取,共4项检测内容
: 。李昱纬举例,这就像请水电师傅到家里修水管,结果对方却跑去翻私人抽屉,显然不合
: 理。相关检测项目包括:
: 6. 读取使用者的通讯录
: 7. 读取使用者的简讯、通话纪录或通知内容
: 8. 读取使用者的行事历或待办事项
: 9. 读取使用者的健康纪录
: 第三大风险则是「读取使用者装置资讯」,共包括3项内容,会检测App是否扫描装置储存
: 空间、查看使用者惯用哪些应用程式,甚至读取装置识别码。李昱纬指出,装置识别码就
: 像手机独一无二的「身分证字号」,一旦遭掌握,对方就可能透过不同软体与网站,串联
: 使用者的上网纪录,进一步拼凑出完整的隐私轮廓。相关检测项目包括:
: 10. 读取使用者的储存空间(系统档案及资料)
: 11. 读取使用者的应用程式清单
: 12. 读取使用者装置的识别码
: 第四项也是最关键的一环,则是「蒐集并分享使用者资料」,也就是资料传输及分享,共
: 3项检测内容,会检测App是否在关闭状态下仍持续对外传输资料、甚至将资料传输至中国
: 境内伺服器。相关检测项目包括:
: 13. 於关闭状态下对外传输资料
: 14. 分享资料给其他已遭骇客利用之中继站或伺服器
: 15. 将资料传输到中国境内伺服器
: 数发部强调,未来仍会持续针对国人常用、风险较高的App进行定期检测,并透过新闻稿
: 与记者会等方式,公布相关结果与风险资讯,提醒民众提高警觉。
: 5.完整新闻连结 (或短网址)不可用YAHOO、LINE、MSN等转载媒体:
: https://ec.ltn.com.tw/article/breakingnews/5451414
: 6.备注:
: 只有我觉得还好吗?我又不是什麽名人,让别人知道有什麽关系?
这些检测项目不就安卓里的权限抓出来看?
像Line FB Google这些权限几乎都要全开才
能用阿!还以为有什麽特别的检测技巧?
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 223.140.164.223 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Gossiping/M.1779868239.A.048.html
1F:推 quite: 太难的事情要找专业人士做阿 125.227.97.73 05/27 15:53
2F:推 ab4daa: 不要对文组要求太多223.141.220.148 05/27 15:54
3F:→ polo5615: 制造对立的组织楼 223.137.221.42 05/27 15:55
4F:推 XUPJPVUP: 一个点菜平台都做不好的酬庸部,要求太 42.76.35.27 05/27 16:00
5F:→ XUPJPVUP: 高 42.76.35.27 05/27 16:00
6F:推 DarkChilles: 文组资管仔 114.137.43.119 05/27 16:03
7F:推 vbhero: Google map:^_^ 211.75.186.175 05/27 16:20
8F:推 seal998: FDA跟欧盟都有对医疗软体的安全性检视指 162.120.248.74 05/27 16:33
9F:→ seal998: 南,拿来抄就好,还有现成的背书可以用 162.120.248.74 05/27 16:33
10F:推 todd0718: 你是相信青鸟政府会监视你,还是对 114.140.83.61 05/27 16:47
11F:→ todd0718: 岸? 114.140.83.61 05/27 16:47
12F:→ todd0718: 答案是,都会! 114.140.83.61 05/27 16:47
13F:→ small91051: 我一般人被监控又怎样? 61.219.91.212 05/27 17:02
14F:→ xixixxiixxii: 你再问下去又要另开办公室了 49.159.75.143 05/27 17:04