平常有在看我評論公部門的 App 與公共政策的朋友,他下載了交通部觀光局「旅行台灣」 iOS App 時覺得不太對勁,他將資訊提供給我,讓我拿 iPhone 實際測試。

這情況真的不妙。當我從 Apple 的 App Store 下載安裝後執行,馬上就有一個「新版本要更新」的資訊出現。我一看這個提醒,是導向去下列這個網站下載安裝。網站直接告訴你,得讓你的裝置信任某商業公司的描述檔,才能執行。這不可思議、教大家如何下載的網頁在這裡(不過為了怕他們移除,編輯也將該圖放在文末),請各位不要真的就下載安裝,以免有災情。

有注意到嗎?它要信任某商業公司,而不是交通部觀光局,這表示這個 App 的安裝方式,是「製作並發佈專屬的企業 iOS app,以供內部使用」階段。

這樣的流程所取得的 App,還沒受 App Store 審查,權限極大,什麼事情都可以作!要進行掃描、使用 Private API、攻擊、竊取資料、拍照、錄音、背景執行......輕而易舉,如果真的是一支木馬程式,發生資安事件,交通部觀光局是否要一併擔起相關責任呢?!

那就是真的再次驗證我這幾年一直說的:App 是純商業市場,公部門不該亂跳下去玩。

如果這樣的更新方式,是由接案公司提議、執行,真的出事,公部門也該擔起責任,不能說你不懂技術,不懂 App 就能撇清所有責任(那你還來開發 App??)。

我已經建議好幾年,公部門不要亂玩 App 了:抄襲、模仿、一窩蜂開發、蚊子App,再用買榜、抽獎、買廣告衝下載數的各種手段。其實這些都是用納稅人的錢在作的,被毀滅的生態圈也是全國大家一起承擔。

但現在是用這種暗黑手法更新,實在看不下去了,誠懇建議觀光局的承辦,別這樣亂玩,真的會玩到你出事情。應該要快點作一個清理,如果是廠商建議你這樣作,真不知道是在幫你,還是在害你。

而因為這只是其一個案,也許還有許多看不到的單位,也在進行相同的事,難以想像公部門竟然透過這種方式來作更新,這會造成極大的資安漏洞。所以提醒大家,要好好保護自己,看到這種方式下載或更新的 App,請直接當成「木馬」,不是掛政府單位的名稱就安全,免得資料被偷、被錄音、被拍照、被追蹤,並且求助無門,請好好保護自己。

【陳坤助】

中華民國 App 跨界交流協會理事長、臺灣防災產業協會常務理事 / 地震災害防制委員會主任委員、台灣開放資料聯盟ODA副會長 / App 應用組召集人、行政院交通部政府資料開放諮詢小組委員、AppDC台灣App開發者社群共同發起⼈。