中大揭Android漏洞 憂泄個人資料

(綜合報道) (星島日報報道)智能手機保安問題一直令人關注。中文大學信息工程學系的研究團隊，早前發現Android手機內置語音系統存有漏洞，全球逾五億用戶有可能因此蒙受風險。惡意軟件可在沒有獲取任何特別權限的情況下，仍可透過手機語音助手功能，奪取個人資料，包括個人行事曆、位置訊息等。研究團隊已向Google反映有關問題，部分漏洞已經被修正。 用戶在智能手機下載應該程式時，大多都不會理會是否有過度取用手機權限，但中大信息工程學系助理教授張克環所領導的團隊早前發現，Android內置的語音系統存有漏洞，即使惡意軟件沒有索取特別權限，仍可播放語音指令，控制智能手機的語音助手作出各種回應，包括任意撥打電話、發送電郵等，黑客甚至能乘機偷取手機中的行事曆、位置訊息等個人資料。 不過，更令人憂心的是，即使手機受密碼鎖保護的，有關漏洞仍然有可能被黑客利用。團隊估計，全球有逾五億名手機及平板電腦用戶受到影響。研究團隊去年已向Google安全團隊反映有關保安漏洞，而Google亦已透過系統更新修復部分問題，若手機處於鎖定狀態，黑客便無法再控制手機。 張克環表示，由於有關漏洞屬於系統性問題，較難直接預防，建議用家將手機作業系統更新至最新版本，以及只在官方平台下載應用程式。 學系副教授劉永昌率領的團隊，亦發現社交網站廣泛採用的開放授權認證系統 （OAuth 2.0）存在另一個保安漏洞。部分社交網站和第三方應用在處理OAuth 2.0時，會採用安全性較低的授權模式，黑客可因此冒充應用程式的身分，向同一應用程式的使用者發放虛假或誤導訊息；而社交網站會允許個別認用程式享有較高的權限，令黑客能夠大量竊取用戶的個人資料。 劉永昌表示，目前在十二個主流社交網站中，八個都有相關問題，但他沒有點名表明那一些社交網站存在漏洞。團隊已通知相關的社交網站供應商，建議加強保安，部分網站已推出相應的防護機制。中大又計畫申請基金資助，將團隊研發的自動檢測軟件改進，並開放予應用程式開發者作安全性測試。