數發部資安署實測四款中國App,同是導航地圖,高德比Google Maps更危險

摘要

台灣數位發展部資通安全署委託國家資通安全研究院,以黑箱方式(從Google Play/App Store下載)對四款中國App進行反組譯與開源工具分析,涵蓋4大核心風險、15項檢測指標。

檢測結果總覽

AppAndroid高風險項目iOS高風險項目
高德地圖11項8項
嗶哩嗶哩 (Bilibili)8項6項
愛奇藝 (iQIYI)7項6項
BIMOBIMO5項5項

所有四款App共同行為:讀取影音/即時影像、讀取裝置識別碼、將資料傳輸至中國境內伺服器。

高德地圖(風險最高)

Android 11項高風險:

  • 持續讀取地理位置(建立完整數位足跡)
  • 主動擷取剪貼簿(密碼、信用卡號、OTP均有風險)
  • 讀取影音/即時影像、麥克風(可能背景側錄)
  • 讀取通訊錄、行事曆、健康紀錄、儲存空間
  • 讀取裝置識別碼
  • 關閉狀態下仍對外傳輸資料
  • 傳輸至中國境內伺服器

Google Maps在相同測試框架下,未觸發剪貼簿讀取,也未發現背景傳輸行為。

結構性法規風險

中國《網絡安全法》及《國家情報法》可要求企業將用戶資料提供給國安/公安部門。台灣《資通安全管理法》規定:公務機關禁止下載/安裝/使用上述四款App。

AI深偽詐騙風險鏈

高德/Bilibili蒐集聲音+影像 → 結合BIMOBIMO的裝置識別碼 → 流入黑市 → 利用生成式AI製作Deepfake → 針對本人社交圈客製化詐騙

衍生頁面