中大揭Android漏洞 憂泄個人資料

星島日報
中大的研究團隊發現Android系統與社交網站存有漏洞,並已向有關方面反映問題。
中大的研究團隊發現Android系統與社交網站存有漏洞,並已向有關方面反映問題。

(綜合報道) (星島日報報道)智能手機保安問題一直令人關注。中文大學信息工程學系的研究團隊,早前發現Android手機內置語音系統存有漏洞,全球逾五億用戶有可能因此蒙受風險。惡意軟件可在沒有獲取任何特別權限的情況下,仍可透過手機語音助手功能,奪取個人資料,包括個人行事曆、位置訊息等。研究團隊已向Google反映有關問題,部分漏洞已經被修正。

用戶在智能手機下載應該程式時,大多都不會理會是否有過度取用手機權限,但中大信息工程學系助理教授張克環所領導的團隊早前發現,Android內置的語音系統存有漏洞,即使惡意軟件沒有索取特別權限,仍可播放語音指令,控制智能手機的語音助手作出各種回應,包括任意撥打電話、發送電郵等,黑客甚至能乘機偷取手機中的行事曆、位置訊息等個人資料。

不過,更令人憂心的是,即使手機受密碼鎖保護的,有關漏洞仍然有可能被黑客利用。團隊估計,全球有逾五億名手機及平板電腦用戶受到影響。研究團隊去年已向Google安全團隊反映有關保安漏洞,而Google亦已透過系統更新修復部分問題,若手機處於鎖定狀態,黑客便無法再控制手機。

張克環表示,由於有關漏洞屬於系統性問題,較難直接預防,建議用家將手機作業系統更新至最新版本,以及只在官方平台下載應用程式。

學系副教授劉永昌率領的團隊,亦發現社交網站廣泛採用的開放授權認證系統 (OAuth 2.0)存在另一個保安漏洞。部分社交網站和第三方應用在處理OAuth 2.0時,會採用安全性較低的授權模式,黑客可因此冒充應用程式的身分,向同一應用程式的使用者發放虛假或誤導訊息;而社交網站會允許個別認用程式享有較高的權限,令黑客能夠大量竊取用戶的個人資料。

劉永昌表示,目前在十二個主流社交網站中,八個都有相關問題,但他沒有點名表明那一些社交網站存在漏洞。團隊已通知相關的社交網站供應商,建議加強保安,部分網站已推出相應的防護機制。中大又計畫申請基金資助,將團隊研發的自動檢測軟件改進,並開放予應用程式開發者作安全性測試。

其他內容