【明報專訊】中文大學兩名信息工程學系教授研究發現,智能手機系統Android的內置語音「助手」功能,及不少社交平台授權第三方獲取用戶資料的系統,均有保安漏洞。黑客可透過Android這個漏洞獲取用戶的行事日程、電話簿,甚至冒認用家發短訊、打電話或傳電郵。而社交網站的授權系統則容許黑客假裝成應用程式,竊取用戶的個人資料。學者指不少機構收到報告後已有修正,但仍建議市民不要將敏感資料上傳到社交網站。 中大信息工程學系兩名教授上年8月及11月,在網絡安全學術會議和國際黑客大會發表研究報告。當中該系的助理教授張克環與研究團隊發現,Android內置語音「助手」功能有漏洞。他指若機主下載惡意程式,黑客可啟動Google語音搜索,並播放語音指令,藉語音「助手」功能撥電至黑客電話,再指示「助手」讀出機主的行事日程、電話簿等資料,從而聽取資料,甚至可叫「助手」冒認用家發短訊、打電話或傳電郵。 影響Android 5億戶 Google已修正 據統計,約有超過5億名手機及平板電腦用戶受影響。Google得悉漏洞後已修正,智能電話在鎖屏的情G下不能開啟語音「助手」。張克環建議用家更新手機系統至最新版本,確保漏洞已修正,如果想進一步防止黑客入侵,可避免下載來歷不明或盜版程式。 另外,中大信息工程學系副教授劉永昌兩年多前觀察到,網上不少應用程式為減註冊步驟,要求用戶以社交網帳號代替,「應用程式媟U複雜的功能,愈多漏洞,且這個功能涉及3個單位(社交平台、用戶、應用程式),出錯機率更大」。 偽裝應用程式竊取資料 研究發現黑客只需簡單改編碼,即可取得應用程式從社交平台取得的授權權杖(token),然後假裝成應用程式,向社交平台索取用戶的朋友名單、照片、發帖等,或冒認應用程式發信息予所有下載該程式的用家。劉永昌指若用家想避免資料外泄,應避免上載敏感資料,或減少以社交平台授權的應用程式。
|
|
|