【大紀元2015年07月10日訊】(大紀元記者李洋綜合報導)估計全球逾5億名手機及平板電腦用戶恐有洩露個人資料的風險。香港中文大學信息工程學系研究團隊早前發現Android手機內置語音系統,以及社交網站存在重大安全漏洞,黑客可趁用戶不察,竊取用戶個人資料及訊息,引起人們對智能手機安全性關注。
用戶在智能手機下載該程式時,一般都不會理會是否有過度取用手機權限,但這次中大信息工程學系助理教授張克環所領導的團隊,開發了一個名為「VoicEmployer」檢測軟件進行測試,發現Android內置的語音系統存有較大安全漏洞。
Android語音系統的漏洞
黑客可在未獲授權情況下,即使惡意軟件沒有索取特別權限,仍可操控受密碼保護的手機,並啟用機內Google語音搜索功能,經揚聲器播放惡意語音指令,以語音控制用戶的手機執行各種指示,比如致電指定號碼,或以用戶身分發短訊、發電郵,甚至可查閱或盜取儲存在手機的留言、日程記錄、位置訊息等個人資料。
研究團隊發現此漏洞後,已向Google安全團隊通報,而Google亦已透過系統更新修復部分問題,若手機處於鎖定狀態,黑客便無法再控制手機。
張克環表示,由於有關漏洞屬於系統性問題,較難直接預防,建議用戶將手機作業系統更新至最新版本,以及只在官方平台下載應用程式。他還說,Android接受用已配對的藍牙(Bluetooth )發出語音指令,可繞過解鎖手機的程序,但蘋果iPhone的iOS仍未測試,所以不能確定iOS是否更安全。
社交網站OAuth容易入侵
該大學信息工程系副教授劉永昌率領的團隊,亦發現社交網站的認證系統存在另一個安全漏洞。目前不少社交網站都採用「開放授權認證系統2.0」(OAuth),允許第三方應用程式在用戶的社交網頁存取部分個人資料,以便身分確認不必再註冊。
研究團隊通過檢測軟件發現黑客只須簡單改寫編碼,即可取得第三方應用程式的授權憑證,並冒認成該應用程式,向用戶發佈虛假或誤導信息,甚至獲取數以億計用戶的私隱資料。目前在12個社交網站當中,有8個存在相關漏洞。
劉永昌說,不少社交網站都允許個別認用程式享有較高的權限,令黑客可簡單通過虛假應用程式偷取用戶個人資料,甚至誘使用戶點擊鏈結到釣魚網站。
不過,劉永昌沒有說明哪一些社交網站存在漏洞。研究團隊就此已通知相關社交網站供應商,並提供建議加強對用戶私隱的保障。香港中文大學的這些研究成果均獲外國學術界、業界及傳媒關注。
責任編輯:蘇漾
