漏洞百出？社交软体沦个资外泄管道　邱述琛：5指标检视App

▲社交软体的资安漏洞逐渐浮上台面。（图／路透社）记者林昱均／台北报导

脸书、LINE纷纷传出隐私的过度搜集或设定状况，也让社交软体与资安漏洞再次画上等号。KPMG数位科技安全服务协理邱述琛指出，社交软体的渗透度高，又有电子支付等多项服务，他建议用户以5大指标检视自己的App，包括安装时默认同意事项的条款、隐私设定、搜集个资程度、避免暴露过多隐私和手机是否经过破解或越狱（又称JB）。

日前不仅有脸书将高达数千万使用者及其交友圈万脸友的个人资料传送到「剑桥分析」事件，且5月1日又发生LINE最新版APP更新后，将「隐私设定」之「外部应用程式存取」预设值，从「拒绝」更改为「一律允许」，等于是强迫用户开App大门供LINE存取。

KPMG数位科技安全服务负责人谢昀泽执行副总经理表示，其实长久以往，国际热门社交软体中，无论是脸书、推特、IG或是LINE，因为其商业模式都是以连接所有使用者为目标，并以广告收入做为公司主要营收之一，故对于隐私设定的预设值，一般都选用较为宽松的设定，例如LINE中的「外部应用程式存取」预设值为「一律允许」，但同时也会提供使用者自行调整或取消的介面。只是LINE没有「特别提醒」使用者，若非网路上引发争议，一般使用者也鲜少进入设定画面进行更改。

而邱述琛则指出，使用者若能遵守5大指标，仍可以在安全前提下使用社交软体。其中在默认同意事项部分，他表示，社群APP安装过程中，使用者对于默认同意事项（如预设使用者同意APP搜集设备资讯以利于系统优化等），须有自我隐私保护意识，详细阅读内容与确认是否可以取消。在隐私设定方面，邱述琛也建议用户在安装社交软体APP后应立即检视设定，避免开放过多的隐私资讯存取权限。

搜集个资程度方面，邱述琛建议用户要拒绝App使用搜集过多个资，且如果是强迫使用者修改个资相关权利选项或范围之社交App也须留意；他也表示，使用者于社群APP上所填写之个资，尽量避免暴露过多的隐私资讯，以防止外部APP或恶意人士不当取用时造成重大的冲击。

邱述琛也认为，用户的手机尽量不要做破解或越狱，也不要下载来路不明之APP或点选可疑的连结位置，以避免社交软体帐密遭窃。另外，针对国内近期风行的线上支付（如LINE Pay等）的使用，邱述琛也提醒，除了支付与金流配合厂商所应注意的资安技术问题外，电子支付消费者本身，也要注意所绑定信用或金融卡片资讯的保护，才能提高整体支付安全性。▼开放过多隐私权限或是把手机做越狱，都可能导致个资遭窃。（图／路透社）