學者揭手機社交網漏洞 黑客遙控語音功能盜私隱

[2015.07.10] 發表

【明報專訊】中文大學兩名信息工程學系教授研究發現,智能手機系統Android的內置語音「助手」功能,及不少社交平台授權第三方獲取用戶資料的系統,均有保安漏洞。黑客可透過Android這個漏洞獲取用戶的行事日程、電話簿,甚至冒認用家發短訊、打電話或傳電郵。而社交網站的授權系統則容許黑客假裝成應用程式,竊取用戶的個人資料。學者指不少機構收到報告後已有修正,但仍建議市民不要將敏感資料上傳到社交網站。

中大信息工程學系兩名教授上年8月及11月,在網絡安全學術會議和國際黑客大會發表研究報告。當中該系的助理教授張克環與研究團隊發現,Android內置語音「助手」功能有漏洞。他指若機主下載惡意程式,黑客可啟動Google語音搜索,並播放語音指令,藉語音「助手」功能撥電至黑客電話,再指示「助手」讀出機主的行事日程、電話簿等資料,從而聽取資料,甚至可叫「助手」冒認用家發短訊、打電話或傳電郵。

影響Android 5億戶 Google已修正

據統計,約有超過5億名手機及平板電腦用戶受影響。Google得悉漏洞後已修正,智能電話在鎖屏的情G下不能開啟語音「助手」。張克環建議用家更新手機系統至最新版本,確保漏洞已修正,如果想進一步防止黑客入侵,可避免下載來歷不明或盜版程式。

另外,中大信息工程學系副教授劉永昌兩年多前觀察到,網上不少應用程式為減註冊步驟,要求用戶以社交網帳號代替,「應用程式媟U複雜的功能,愈多漏洞,且這個功能涉及3個單位(社交平台、用戶、應用程式),出錯機率更大」。

偽裝應用程式竊取資料

研究發現黑客只需簡單改編碼,即可取得應用程式從社交平台取得的授權權杖(token),然後假裝成應用程式,向社交平台索取用戶的朋友名單、照片、發帖等,或冒認應用程式發信息予所有下載該程式的用家。劉永昌指若用家想避免資料外泄,應避免上載敏感資料,或減少以社交平台授權的應用程式。

更多港聞
包括3學生 網購騙案13人涉騙120萬
【明報專訊】警方一連兩日採取代號「登峰者」的反網上騙案行動,共拘捕13名騙徒。警方發現有騙徒手法層出不窮,有人同時扮演買家與賣家角色,先用受... 詳情
【明報專訊】警方一連兩日破獲兩宗「機艙老鼠」盜竊案,兩名內地人在航班內偷取他人現金,其中一人更乘搭商務客位以便偷錢。警方呼籲旅客乘飛機時貴重... 詳情
老婦求醫公院精神科等兩年 醫局:將推跨網預約 可選龍短地區
【明報專訊】近年精神科需求漸增,網上昨熱傳有聲稱精神分裂的75歲婦人,輪候精神科專科門診排期至2017年7月,即要等兩年。醫管局資料顯示,現... 詳情
【明報專訊】本港約有20萬名精神科病人,新症輪候個案逾萬宗。有精神科醫生指出,近年精神科新症增加,公院逾三成病人是長者,惟精神科醫生中僅不足... 詳情
【明報專訊】理大一年生稱為「幫朋友」,使用假中國護照冒充內地人在港應考國際英語水平測試(IELTS)。他早前承認使用虛假文書罪,昨被判80小... 詳情

明報網站 · 版權所有 · 不得轉載
Copyright © 2015 mingpaocanada.com All rights reserved.
Ming Pao Daily News A wholly owned subsidiary of Ming Pao Enterprise Corporation Ltd.
Vancouver Chinese Newspaper

5368 Parkwood Place, Richmond B.C. V6V 2N1 | Tel.: (604) 231-8998 | Fax: (604) 231-9881/9884 | Advertising Hotline Tel.: (604) 231-8992