智慧型手機、平板電腦已經成為目前民眾最常使用的裝置，但只要有資訊設備，就會有資安問題。除了目前常見在電腦、手機上的病毒、木馬等惡意程式之外，更可怕的是隱藏在一般App之中的隱私問題。我們享受便利的同時，惡質企業也⼀同在享受你的隱私。

丹麥TV2電視台在2015年製作的紀錄片《手機不設防》（Addicted to My Phone），切實闡述了App的隱私問題。當App的便利蒙蔽民眾的警覺心，犧牲的就是所有人的隱私。該片邀請IT人員製作一個濫用隱私的惡意App給民眾測試，令人訝異的是，大部分的人對於App權限毫無警覺，在訪談中示範這些侵犯隱私的可能性時，民眾才驚覺隱私的重要性。影片中所說的是真的嗎？很遺憾，不僅是真的，而且濫用的情況更超乎我們的想像。

智慧型手機幾乎與每個⼈形影不離，設備具有強大的運算、網路連線、照相、錄影、錄音、GPS等功能，人們如同攜帶⼀台微型電腦在身上。試想這樣的裝置如果被惡意利用，會有多大的危害？在⼀個企業的機密會議，手機的錄音功能悄悄被攻擊者打開，透過網路將會議的內容傳送給敵對廠商。

手機的GPS位置記錄的你每天去過的每個地方，惡意程式便可得知你的生活圈，甚至你家住址。你手機中的相片、簡訊、行事曆、通訊錄，每一個資料都可能被濫用，將你的隱私轉換成為商品販售謀利。越是強大便利的功能，就越可能被攻擊者利用。

所有的 App都會有這樣的危險嗎？這牽扯到App本身所擁有的權限。以手機作業系統Android為例，在安裝時會提示將授予App權限，同意後才可安裝。蘋果iOS則是在App執行時跳出提醒，詢問是否授權存取某些資料。但遺憾的是，一般民眾也許因為太過相信App開發商或是缺乏資安意識，並沒有深究權限的習慣，看到詢問同意視窗即按下允許，記錄片中的受測民眾也有相同的驚嚇。

若過度授權App，就會讓惡意開發廠商有機可乘，將使用者的所有隱私攤在陽光之下，包含照片、簡訊、GPS 座標。這不是危言聳聽！2016年6月《The Independent》報導Facebook App在美國地區實驗背景錄音，嘗試從日常對話內容中擷取資訊進行廣告推播，這引發了激烈討論，若Facebook將錄音取得的資料挪做他用呢？我們有權知道真相嗎？更在幾年前惡意App氾濫的時代，不少惡意程式偽裝成正常的App，盜發簡訊謀利。

說了那麼多，究竟什麼App才安全？權限問題可以分成兩個面向來探討：「正常App濫權」及「惡意App竊取隱私」。App在安裝及執行時都會提醒權限，秉持權限最小化原則，若有你認為不該使用的權限，可以拒絕安裝或執行。一些負責任的廠商會在App安裝頁面說明每個權限的使用原因與時機，方便我們了解並授權。身為使用者則必須重視自己的隱私，若對App權限有疑問，千萬別抱持得過且過的心態。

你或許也有這樣的疑問，惡意濫權的App那麼多，兩大手機平台Google及Apple到底做了什麼？近年來隱私議題逐漸受到重視，因此Google和Apple都努力在作業系統中強化使用者隱私，讓開發者可以在取用權限的時候多加一層限制，保護用戶。Google更從Android 6.0開始改進權限的顯示方式，從以往技術人員才看得懂的權限說明，改成簡單扼要的文字。

兩個平台都可以在App執行時提示是否授予權限，事後也能隨時在設定畫面將已授予的權限取消，這樣貼近一般民眾需求的調整，讓民眾更注重隱私。除了交給用戶把關權限之外，平台針對上架的App也會進行嚴密的原始碼檢查，避免App出現惡意行為，另外透過檢舉與檢查機制，若發現App市集中有惡意App，將直接下架避免更多人受害。

《手機不設防》從實際的攻擊示範，讓觀眾了解隱私的風險所在。你的隱私並非無足輕重！別默默讓我們的隱私成為無良廠商的謀利工具。每個App背後的行為都相當複雜，唯有將App權限最小化，不盲目安裝過度濫權的App、定期檢查App的隱私權及授權設定，才能保護自己。資安等同國安，只要每個人都對資安及隱私有一定程度的重視，台灣整體資安環境就會更好。

文：翁浩正 Allen Own（台灣駭客協會理事長）

內容來源:https://www.thenewslens.com/feature/input/54400?fbclid=IwAR1TRdwEeMhRz73RvOIYFlA57qjG5G4ZNeCc7K2u7e4nFUvkKF62rbz-bsQ