果粉必看！ iOS 比 Android 更會洩露數據　駭客恐鎖定 API 攻擊

當你每天滑手機時，或許沒想過手中使用的應用程式正在默默將你的敏感資訊暴露在風險之下。根據行動資安公司 Zimperium 最新研究，超過一半的iOS應用程式、以及三分之一的Android應用程式，存在可能洩露個資與商業資料的漏洞。對於普遍仰賴行動支付、網購、甚至健康醫療App的台灣用戶來說，這項發現無疑是一記警鐘。

三點摘要：

• iOS應用程式比Android更容易洩露敏感資訊，比例超過五成。
• 傳統防禦措施不足，駭客可透過API攻擊直接竊取資料。
• 研究顯示，惡意軟體在手機端已廣泛存在，台灣用戶同樣面臨風險。

為什麼 iOS 洩露風險比 Android 更高？

根據Zimperium報告，超過一半的iOS應用程式在API呼叫過程中，會將關鍵數據暴露在不安全的環境，讓駭客有機可乘。這些攻擊者能攔截並修改API流量，使惡意行為看起來與正常操作無異。相較之下，Android 的比例雖然較低，但仍有三分之一的應用程式存在相同問題。

對台灣用戶來說，這意味著不論是 iPhone 還是 Android，用戶在操作銀行 App、旅遊平台或外送服務時，個資都有可能被竊取。

為什麼傳統資安工具擋不住？

防火牆、閘道器、代理伺服器、甚至API金鑰驗證，這些過去常見的防護措施，無法有效抵擋行動端的「裝置內攻擊」。Zimperium指出：「傳統的安全工具無法阻止應用程序本身內部發生的攻擊。現在保護API需要保護客戶端的應用程式內防禦。」

這點對台灣企業特別重要。隨著行動銀行、電商平台與數位健保卡普及，如果應用程式內安全防護不足，駭客可能在 App 與後端伺服器溝通前，就已經竄改資料。

手機感染率到底有多高？

報告數據顯示，在全球範圍內，每1,000台行動裝置中，就有3台已經被惡意軟體感染。而Android設備在野外的感染比例更高，約有五分之一曾遭遇惡意軟體入侵。這些數字並不只是「國外問題」，對行動普及率極高的台灣市場同樣具有警示意義。

除了 API，應用內還有哪些隱憂？

Zimperium 研究還揭露，許多應用程式在處理裝置上的敏感數據時出現錯誤。例如，前100個 Android 應用程式中，有6%會將個資寫入控制台日誌，另有4%存入其他應用可讀取的外部儲存。甚至有應用會在背景中秘密蒐集GPS位置、記錄使用者互動，並將資料傳送至外部伺服器。

對一般台灣民眾來說，這意味著即使下載的是「官方商店」的應用程式，也未必絕對安全。

台灣用戶該如何自保？

專家建議，應用程式開發者應強化客戶端防護，確保API呼叫僅來自合法未竄改的應用程式；同時，用戶也可透過檢查應用程式權限、監控流量是否發送未加密資訊，以及使用行動資安軟體等方式，降低風險。
Zimperium 強調：「隨著行動應用程式繼續推動業務運營和數位體驗，從內到外保護API對於防止詐欺、資料竊取與服務中斷至關重要。」​ （相關報導： 蘋果iOS 26藏1神級黑科技！Joeman讚爆：根本I人救星 ｜ 更多文章 ）

來源文章：Mobile Apps: The New API Battleground​