(獨媒特約報導)建制派早前在政改表決期間的的 Whatsapp 內容外洩風波令全城嘩然,令人重新關注社交軟件和網絡安全的重要性。中大信息工程學系科硏團隊星期四(7月9日)公佈兩項分別在去年和前年進行的有關網絡系統安全及防護的檢測結果,研究結果顯示 Android 平台和社交網站內藏重大保安漏洞。當中所有被選取的「反病毒軟件」皆不能檢測到研究團隊發動的攻擊方法;當中更有超過一半被測試的應用程式都出現保安漏動。
Android 語音助手助黑客偷取資料
負責研究的教授張克環的團隊發現Android內置的語音助手系統存在安全漏洞,出現權限濫用和零權限攻擊問題(Zero-Permission Attack)。據統計,約有超過5億名手機及平板電腦用戶受到影響。黑客可在用家不察覺的情況下,以遙距操控方式,在用家的智能手機上安裝一個惡意程式,播放語音攻擊的指令。
張克環表示,黑客會透過語音助手對指令的反饋,竊取大量用戶的私隱信息或資料,輕易繞過現有Android系統的數據保護機制。他建議智能手機用戶最好能升級至最新版本,盡可能不要接觸來歷不明的應用程式。
團隊利用自行設計的「VoiceEmployer」的惡意程式,發現黑客可在未獲授權的情況下,操控受密碼保護的手機,啟動 Google 語音搜索並播放惡意語音指令,例如任意撥號。黑客更可遙距啟動手機用戶的 Google 語音識別功能,以語音控制用戶的手機發遍惡意短訊、電郵,甚至查詢用戶儲存在手機的個人資料,如語音電郵(voicemail)、當前位置、行事歷等內容。如黑客可向手機直接詢問手機用戶的日程,當 Google 語音搜索自動識別這個指令後,便會以語音反饋的形式回答用戶的下一個日程安排。
社交網站認證系統存漏洞 數以億計用戶受影響
學系副教授劉永昌的團隊則發現,現時社交網站廣泛採用的開放授權認證系統2.0 (Open Authentication Protocal,簡稱OAuth) 存在很大漏洞,結果顯示逾半被測試的應用程式都因未有正確使用此系統而遭黑客假裝成應用程式的身份;取得權限升級,竊取數以億計社交網站用戶的個人資料,並監察用戶的網上活動狀況。
他認為因大部分用戶都不得悉這些漏洞,難以防範,因此須依靠社交網站和第三方應用程式開發者來堵塞漏洞,已得悉部分主流社交平台亦已推出相關的防護機制。
劉永昌又表示,在他們研究的十二個主流社交網站中,有八個存在假裝應用程式的漏洞,可對用戶造成不同程度的危害。其中最普遍的是黑客可冒充應用程式發送虛假或誤導的信息予使用者,甚至可以在短時間內獲取數以億計用戶的私隱資料」。團隊亦發現,兩個社交平台有邏輯錯誤,導致用戶無法取消與該平台有合作關係的第三方應用程式的授權」
兩隊研究團隊均表示在發現安全漏洞後,已即時主動將結果通知了相關社交軟件和社交網站的安全團隊,並提供建議以加強對用戶私隱的保障。張教授表示Google 已在語音搜索的更新版本中修復了部分問題。科研團隊已於本年7月1日申請種子基金以支持檢測軟件的發展,並計劃向創新及科技局申請基本資助。
記者:古樂兒