學者揭手機社交網漏洞 黑客遙控語音功能盜私隱

學者揭手機社交網漏洞黑客遙控語音功能盜私隱

[2015.07.10] 發表

【明報專訊】中文大學兩名信息工程學系教授研究發現，智能手機系統Android的內置語音「助手」功能，及不少社交平台授權第三方獲取用戶資料的系統，均有保安漏洞。黑客可透過Android這個漏洞獲取用戶的行事日程、電話簿，甚至冒認用家發短訊、打電話或傳電郵。而社交網站的授權系統則容許黑客假裝成應用程式，竊取用戶的個人資料。學者指不少機構收到報告後已有修正，但仍建議市民不要將敏感資料上傳到社交網站。

中大信息工程學系兩名教授上年8月及11月，在網絡安全學術會議和國際黑客大會發表研究報告。當中該系的助理教授張克環與研究團隊發現，Android內置語音「助手」功能有漏洞。他指若機主下載惡意程式，黑客可啟動Google語音搜索，並播放語音指令，藉語音「助手」功能撥電至黑客電話，再指示「助手」讀出機主的行事日程、電話簿等資料，從而聽取資料，甚至可叫「助手」冒認用家發短訊、打電話或傳電郵。

影響Android 5億戶 Google已修正

據統計，約有超過5億名手機及平板電腦用戶受影響。Google得悉漏洞後已修正，智能電話在鎖屏的情况下不能開啟語音「助手」。張克環建議用家更新手機系統至最新版本，確保漏洞已修正，如果想進一步防止黑客入侵，可避免下載來歷不明或盜版程式。

另外，中大信息工程學系副教授劉永昌兩年多前觀察到，網上不少應用程式為減註冊步驟，要求用戶以社交網帳號代替，「應用程式裏愈複雜的功能，愈多漏洞，且這個功能涉及3個單位(社交平台、用戶、應用程式)，出錯機率更大」。

偽裝應用程式竊取資料

研究發現黑客只需簡單改編碼，即可取得應用程式從社交平台取得的授權權杖(token)，然後假裝成應用程式，向社交平台索取用戶的朋友名單、照片、發帖等，或冒認應用程式發信息予所有下載該程式的用家。劉永昌指若用家想避免資料外泄，應避免上載敏感資料，或減少以社交平台授權的應用程式。

更多港聞