【大纪元2015年07月10日讯】香港中文大学(中大)信息工程学系的科研团队,两位教授分别成功检测到移动装置作业系统Android、社交网站的重大保安漏洞,用户的私隐信息或资料容易被黑客盗取。
张克环教授领导的团队首次发现Android内置的语音助手系统存在保安漏洞。团队设计了一套名为“VoicEmployer”的恶意程式,黑客可以在用家不察觉的情况下,以遥距方式操控受密码保护的手机,启动Google语音搜索并播放攻击语音指令发送恶意短讯、电邮。黑客甚至可窃取大量用户的私隐信息或资料,包括如语音电邮(voicemail)、行事历、当前位置等内容。例如黑客向手机直接询问手机用户的日程,当Google语音搜索自动识别这个指令后,便会以语音反馈的形式回答用户的下一个日程安排。据统计,约有超过5亿名手机及平板电脑用户受到影响。
使用官方商店的应用程式
张克环表示发现安全漏洞后,已即时将其运作方式及相关细节通知了Google安全团队,并提供更新建议。Google语音搜索的更新版本中,已修复了部分问题。他们建议智能手机用户应尽量使用官方商店提供的应用程式,避免安装来历不明的应用程式。
另外,刘永昌教授及研究生胡辟砾和杨荣海发现,现时社交网站广泛采用的开放授权认证系统2.0(Open Authentication Protocol,简称OAuth)存在很大的漏洞。现时的OAuth允许第三方应用程式在用户的社交网站上存取资料(如用户之发帖、照片、活动状态及朋友关系等)。
由于不少社交平台缺乏把关,黑客只需简单改写编码便可选择使用安全性较低的授权方式,取得第三方应用程式的授权权杖(token),并假装成该应用程式。再通过个人资料,确定用户的身份,无需用户提供密码予该应用程式。由于某些社交平台会给予个别应用程式特高的权限,黑客透过上述方法可取得升级权限,窃取用户个人资料,并监察网上活动状况。
网站应保障用户的私隐
刘教授及其团队开发了一个自动检测软件(OAuth Tester),以测试多个应用程式及社交网站的安全性,结果发现12个主流社交网站中,有8个应用程式未有正确使用OAuth 2.0而出现不同的保安漏洞。最普遍是黑客可以冒充应用程式发送虚假或误导的信息予使用者,甚至可以在短时间内获取数以亿计用户的私隐资料。
研究团队已主动通知受影响之社交网络服务供应商,并提供建议以加强对用户私隐的保障。由于大多数用户并不知悉这些漏洞,防不胜防,因此须依靠社交网站和第三方应用程式开发者来堵塞漏洞。部分主流社交平台亦已推出相关的防护机制。
两项发现已于两个网络安全国际会议:2014年网络安全学术会议(ACM Conference on Computer and Com-munications Security 2014)及国际黑客大会(Black Hat USA 2014)上发表。◇
责任编辑:王若愚
