（中央社記者汪淑芬台北12日電）愈來愈多社區管理走向智慧化，消基會檢測用戶數已上萬的智生活App，不合格項目多達16項，有個資外洩及交易攔截風險，建議消費者採權限隔離、勿開啟自動儲存密碼功能。

消費者文教基金會今天舉行「智慧居家服務，風險全都露－智生活App資安檢測結果」記者會。

消基會表示，智慧社區App將整座社區的服務放進民眾口袋，從包裹代收、繳費通知，到多元的居家清潔與家電維修預約，一站式滿足所有生活需求，是住戶的數位好管家。其中頗負盛名的智生活（SmaDay）App由智生活科技（原今網智慧科技）股份有限公司開發，官方網站宣稱用戶數已達1萬個社區、300萬住戶。

消基會指出，智生活App在官網上及App Store平台上也宣傳應用軟體已通過MAS L3最高等級資安標章，但消基會與國家資通安全研究院對於安卓版先後進行兩次檢測，發現智生活App有16項檢測項目未通過。

消基會表示，智生活App的用戶可能有個資外洩風險，因程式碼與日誌檔未落實加密或清理，駭客可輕易從手機暫存中竊取敏感資訊；其次是交易攔截風險，因App缺乏交易時的再次驗證與防覆蓋保護，攻擊者可透過偽裝介面誘導入坑，或在背景側錄用戶的輸入動作來盜取金流權限。

另外，智生活App也有管理缺失，例如隱私宣告不全，且連線識別碼容易被預測，增加了帳戶連線被劫持的風險。

消基會建議，若民眾需要使用智生活App，可採3個作法降低風險，首先是「權限隔離」，到手機的設定頁面，盡可能以最低限度打開該App的存取權；其次是針對「金流與交易」的防護，不綁定高額信用卡，也不要開啟自動儲存密碼功能；同時避免「敏感資料殘留」，應頻繁清理App的快取資料，若要更換手機，務必先在App內點擊登出，隨後卸載App。

消基會點出目前行動App的資安防禦，呈現「重售前、輕售後」的病態失衡。當前制度雖有如MAS（行動應用App基本資安檢測）等認證標章，但其檢測本質仍屬於單一時間點的切片檢查，一旦App通過檢測並取得標章進入市場，後續的監督機制幾乎處於真空狀態，形成資安隱憂。

消基會提到，多數行動App在發布更新版本後，不需要強制重新檢測，除非發生重大版本異動，但資安威脅是動態的，今天安全的加密演算法，明天可能因新漏洞而失效。缺乏定期的抽驗機制與「不定期覆核」，導致許多掛著資安標章的App，內部可能早已充斥未修補的漏洞，標章反而成為誘導住戶與消費者放下戒心的偽裝。

消基會認為，目前檢測高度依賴第三方實驗室，雖然實驗室須通過認證，但對於檢測過程的「實質監督」強度仍有不足。當市場陷入削價競爭時，實驗室是否能維持高品質的穿透測試；對於檢測報告中的「判定模糊地帶」是否有一致的公信力準則。若缺乏對實驗室的定期稽核與報告回溯機制，檢測過程極易流於形式，變成一種付錢買合格證書的商業行為。

消基會指出，除了智生活App外，其他智慧社區管理的App也可能面臨同樣問題，呼籲政府與標準制定單位（如數發部、台灣資通產業標準協會）建立更完善的後市場治理架構，包括建立「抽驗與追蹤」機制，針對高風險App實施年度不定期抽測；強化實驗室課責，若App在通過檢測後短時間內爆發重大已知漏洞，應追究實驗室檢測不實之責；公開透明的缺失通報，建立「App漏洞通報平台」，強制開發商在時限內修復並公告，否則應撤銷其資安標章。

消基會表示，資安不應只是App上架前的一張門票，而應該是整個產品生命週期中，由開發商與檢測體系共同負擔的長期契約。（編輯：張雅淨）1150212