【大紀元2015年07月10日訊】香港中文大學(中大)信息工程學系的科研團隊,兩位教授分別成功檢測到移動裝置作業系統Android、社交網站的重大保安漏洞,用戶的私隱信息或資料容易被黑客盜取。
張克環教授領導的團隊首次發現Android內置的語音助手系統存在保安漏洞。團隊設計了一套名為「VoicEmployer」的惡意程式,黑客可以在用家不察覺的情況下,以遙距方式操控受密碼保護的手機,啟動Google語音搜索並播放攻擊語音指令發送惡意短訊、電郵。黑客甚至可竊取大量用戶的私隱信息或資料,包括如語音電郵(voicemail)、行事曆、當前位置等內容。例如黑客向手機直接詢問手機用戶的日程,當Google語音搜索自動識別這個指令後,便會以語音反饋的形式回答用戶的下一個日程安排。據統計,約有超過5億名手機及平板電腦用戶受到影響。
使用官方商店的應用程式
張克環表示發現安全漏洞後,已即時將其運作方式及相關細節通知了Google安全團隊,並提供更新建議。Google語音搜索的更新版本中,已修復了部份問題。他們建議智能手機用戶應儘量使用官方商店提供的應用程式,避免安裝來歷不明的應用程式。
另外,劉永昌教授及研究生胡辟礫和楊榮海發現,現時社交網站廣泛採用的開放授權認證系統2.0(Open Authentication Protocol,簡稱OAuth)存在很大的漏洞。現時的OAuth允許第三方應用程式在用戶的社交網站上存取資料(如用戶之發帖、照片、活動狀態及朋友關係等)。
由於不少社交平台缺乏把關,黑客只需簡單改寫編碼便可選擇使用安全性較低的授權方式,取得第三方應用程式的授權權杖(token),並假裝成該應用程式。再通過個人資料,確定用戶的身份,無需用戶提供密碼予該應用程式。由於某些社交平台會給予個別應用程式特高的權限,黑客透過上述方法可取得升級權限,竊取用戶個人資料,並監察網上活動狀況。
網站應保障用戶的私隱
劉教授及其團隊開發了一個自動檢測軟件(OAuth Tester),以測試多個應用程式及社交網站的安全性,結果發現12個主流社交網站中,有8個應用程式未有正確使用OAuth 2.0而出現不同的保安漏洞。最普遍是黑客可以冒充應用程式發送虛假或誤導的信息予使用者,甚至可以在短時間內獲取數以億計用戶的私隱資料。
研究團隊已主動通知受影響之社交網絡服務供應商,並提供建議以加強對用戶私隱的保障。由於大多數用戶並不知悉這些漏洞,防不勝防,因此須依靠社交網站和第三方應用程式開發者來堵塞漏洞。部份主流社交平台亦已推出相關的防護機制。
兩項發現已於兩個網絡安全國際會議:2014年網絡安全學術會議(ACM Conference on Computer and Com-munications Security 2014)及國際黑客大會(Black Hat USA 2014)上發表。◇
責任編輯:王若愚
