2016年12月16日

中大揭Android保安漏洞 全球逾億用戶私隱堪虞

2015年07月10日
全部 > 新聞
   

 

智能手機功能繁多,但保安漏洞亦愈揭愈多,防不勝防。中大一項研究發現,社交平台及Android內置的語音系統,均存在重大保安漏洞,估計以億計用戶受影響;其中Android內置的語音系統,已成黑客新的攻擊渠道,黑客可在用戶不知情下,入侵用戶手機的應用程式,遙距指示語音系統讀取用戶個人資料、行程表等,私隱完全曝光,估計影響全球逾5億名手機及平板電腦用戶,團隊指,需待官方推出新版本才有望解決問題。


該保安漏洞由中大信息工程學系的團隊發現,並已於較早前匯報予Android的開發商Google。該系助理教授張克環(圖2右)指,黑客入侵用戶手機的應用程式後,可循多個途徑竊取個人資料及敏感數據,而最新的一種方法,就是控制Google語音系統,撥打「用戶」電話到黑客的手機,然後讀出用戶手機存有的日程、聯絡人和位置紀錄等;此外,更可以指示用戶手機發出惡意電郵及短訊。
張克環又表示,不論手機當時有否設置密碼鎖,或是否處於待機狀態,黑客均能以語音系統作指示,令用戶防不勝防;他估計,現時絕大部分手機或平板均安裝了Android 4.1或以上版本,故今次測試主要測試有關版本,發現系統存有該漏洞,或需待官方推出新版本方有望解決。
 

12個社交平台8個把關不力
除了手機系統的漏洞外,團隊亦研究12個受歡迎的網上社交平台的保安系統,發現其中8個平台,在批出第三方軟件的授權指令(Token)時,均「把關不力」,較容易讓惡意程式「假裝」成獲授權軟件,代用戶於社交平台發布貼文及動態,及取得個人資料等。
 

勿下載來歷不明程式
中大信息工程學系副教授劉永昌(圖2左)表示,雖然上述的各項保安漏洞,用家都不能自行修復,但只要時刻避免接觸、安裝不明來歷的應用程式,及加強注意個人資料的管理,便能減低私隱外洩風險。

回首頁      列印

 

 

/92



C觀點

中原城市領先指數

廚神

旅遊