使用抖音App的資安疑慮 :用戶會在不知情的狀況下,被讀取手機內容?

使用抖音App的資安疑慮 :用戶會在不知情的狀況下,被讀取手機內容?
Photo Credit: Reuters / 達志影像

我們想讓你知道的是

究竟大眾該如何看待使用抖音App的資訊安全?我們邀請專家回應如下。

議題背景

新聞指出,透過剪貼簿(universal clipboard)的功能,Mac或iPad上複製或剪下的文字或內容,都可以用iPhone讀取,而抖音(TikTok)這個短影音平台App,可以在使用者不知情的狀況下,讀取iPhone剪貼簿內容,包含複製的密碼、信用卡資訊、文字等。

最新的消息是印度已宣布禁止使用抖音,印度的安卓和蘋果商店已移除抖音App,無法下載使用。

相關新聞與討論:

究竟大眾該如何看待使用抖音App的資訊安全?我們邀請專家回應如下。

徐瑞壕(國立中山大學資訊工程學系助理教授)
2020年7月3日

目前報導出抖音App的問題在於,它會在使用者不知情的狀況下,存取剪貼簿的內容,可能包含機密的資料,例如帳號密碼、信用卡資訊等。

如果一個App的文書編輯功能,通常會需要存取剪貼簿所儲存的資訊,然而這樣的操作通常不會大量頻繁地重複進行存取的動作。而以抖音的App型態,也看不出其有任何理由,需要多次存取剪貼簿的資料。

其實不只抖音App,其他App也會在沒有經過使用者同意下,擁有存取手機內其他資料的權限,我們稱這種App為「流氓軟體」。早期的手機作業系統沒有特別防範這個問題,系統是Android 9以下的手機,就無法讓使用者直接設定軟體存取手機內資料的權限。但Android 10以上的手機,已經禁止任何軟體存取剪貼簿的文字。

雖然抖音App聲稱已經更新軟體,可能解決了舊的問題,但若下一個版本有新的問題,一般使用者無法檢查,也很難得知。

目前要確保使用影音相關App時的資訊安全,經濟部工業局有一個「行動應用App基本資安檢測基準」,是根據廠商提供的文件,來檢測一個App會讀取哪些資料或檔案。

但是一般使用者在使用App時,難以分辨一個App到底需要哪些權限、不需要哪些權限,手機通知使用者App要求獲得權限時,使用者也難以判斷是否要答應授權。所以建議培養大眾的基本資安防護概念,保護個人資料的效益,可能勝過於教大眾使用專業資安技術。

例如最簡單的方式是避免使用有資安疑慮的App,還有具高度機密的個人資訊(例如網路銀行密碼)盡量避免用剪貼的方式輸入,而改用手動輸入,也可直接避免剪貼簿資料外洩的風險。

本文經新興科技媒體中心授權刊登,原文刊載於此

責任編輯:朱家儀
核稿編輯:翁世航


Tags: