Android語音助理漏洞 5億人恐遭竊密

【晴報專訊】手機語音助理盛行,用戶只需簡單指令,就可撥打電話、開啟相簿及行事歷,不過亦讓黑客有機可乘!中大發現Android智能手機的語音助理有保安漏洞,可自動撥打收費電話、掌握機主位置及日程,全球五億用戶私隱岌岌可危。 Android用戶於Google Play Store下載App時,會有一系列需要授權裝置,如相機、GPS定位及咪高風等,稱為「存取權限」,避免第三方程式開發者濫用,犧牲用戶私隱。 毋須授權 黑客無聲無息遙控手機 但中文大學信息工程學系教授張克環及其研究生發現,在零存取權限下仍有保安漏洞,因部分內置組件可自行運作,無聲無息下被黑客操控;組件包括可追蹤用戶位置的陀螺儀、知道用戶正做甚麼的磁力感應器及揚聲器等。 Google Voice Search是Android手機內置的語音助理,不需授權就可存取用戶揚聲器及咪高風。張指Google Voice Search可繞過所有保安機制,待機時自動撥打特殊收費電話。黑客亦可向手機直接詢問用戶的日程、位置,甚至打開手機相簿。即使手機處於屏幕鎖定狀態,黑客也可經藍牙耳機遙距操控。黑客又可透過監測用戶使用習慣決定何時攻擊,如手機已待機兩小時,身邊環境較暗,就可推斷用戶已睡眠,「靜靜雞」竊聽,撥打長途電話、傳送詐騙電郵等。 Google更新版本 已修復部分問題 語音助理是內置功能,料現時全球近五億Android智能手機及平板電腦用戶,都有私隱外洩風險。張指發現漏洞時,已報告予Google安全團隊,現時更新版本已修復部分問題,如手機鎖屏時無法作相關攻擊;他建議用戶避免使用官方商店以外應用程式,勿瀏覽可疑網站,並時常使用密碼保護。張又指該團隊未測試iOS,不代表其語音助手Siri無問題。 社交網站帳戶連結Apps 增風險 中文大學信息工程學系副教授劉永昌及其研究生測試12個主流社交網站,發現八個存安全漏洞,用戶若「貪方便」用一個帳戶通行所有應用程式,隨時犧牲私隱。但劉未透露網站名單,用戶只能「信可信靠的應用程式」,以facebook為例,安裝及使用其他應用程式時,不應一併連結到fb,獨立性愈強愈安全。現時部分已修正相關漏洞。 另現時熱門社交網站如fb、Instagram等,廣泛採用開放授權認證系統2.0(OAuth),易被黑客存取,假扮能取得較高授權的「超級應用程式」,竊取億計用戶資料,甚至朋友名單。