【大纪元2015年07月10日讯】(大纪元记者李洋综合报导)估计全球逾5亿名手机及平板电脑用户恐有泄露个人资料的风险。香港中文大学信息工程学系研究团队早前发现Android手机内置语音系统,以及社交网站存在重大安全漏洞,黑客可趁用户不察,窃取用户个人资料及讯息,引起人们对智能手机安全性关注。
用户在智能手机下载该程式时,一般都不会理会是否有过度取用手机权限,但这次中大信息工程学系助理教授张克环所领导的团队,开发了一个名为“VoicEmployer”检测软件进行测试,发现Android内置的语音系统存有较大安全漏洞。
Android语音系统的漏洞
黑客可在未获授权情况下,即使恶意软件没有索取特别权限,仍可操控受密码保护的手机,并启用机内Google语音搜索功能,经扬声器播放恶意语音指令,以语音控制用户的手机执行各种指示,比如致电指定号码,或以用户身份发短讯、发电邮,甚至可查阅或盗取储存在手机的留言、日程记录、位置讯息等个人资料。
研究团队发现此漏洞后,已向Google安全团队通报,而Google亦已透过系统更新修复部分问题,若手机处于锁定状态,黑客便无法再控制手机。
张克环表示,由于有关漏洞属于系统性问题,较难直接预防,建议用户将手机作业系统更新至最新版本,以及只在官方平台下载应用程式。他还说,Android接受用已配对的蓝牙(Bluetooth )发出语音指令,可绕过解锁手机的程序,但苹果iPhone的iOS仍未测试,所以不能确定iOS是否更安全。
社交网站OAuth容易入侵
该大学信息工程系副教授刘永昌率领的团队,亦发现社交网站的认证系统存在另一个安全漏洞。目前不少社交网站都采用“开放授权认证系统2.0”(OAuth),允许第三方应用程式在用户的社交网页存取部分个人资料,以便身份确认不必再注册。
研究团队通过检测软件发现黑客只须简单改写编码,即可取得第三方应用程式的授权凭证,并冒认成该应用程式,向用户发布虚假或误导信息,甚至获取数以亿计用户的私隐资料。目前在12个社交网站当中,有8个存在相关漏洞。
刘永昌说,不少社交网站都允许个别认用程式享有较高的权限,令黑客可简单通过虚假应用程式偷取用户个人资料,甚至诱使用户点击链接到钓鱼网站。
不过,刘永昌没有说明哪一些社交网站存在漏洞。研究团队就此已通知相关社交网站供应商,并提供建议加强对用户私隐的保障。香港中文大学的这些研究成果均获外国学术界、业界及传媒关注。
责任编辑:苏漾
