Android手機、社交平台存保安漏洞
發布時間: 2015/07/09 17:03
香港中文大學信息工程學系科研團隊,發現Android智能手機及至少8個主流社交平台出現保安漏洞,可在無聲無色下撥出收費電話,竊取用戶個人資料及相片;社交平台的開放授權認證系統,則可令黑客假裝為應用程式開發者,操控用戶的社交平台帳號發帖,存取用戶的私人照片、非公開活動狀態,甚至是朋友名單,料受影響用戶數以億計,惟他們已通知Google及相關社交平台,大部份漏洞已被堵塞。
手機語音助手愈來愈普及,中大信息工程學系教授張克環與其兩名研究生發現,Android手機的磁力傳感器、光線傳感器、陀螺儀及揚聲器等,都毋須用戶授權,便可自行啟用,故黑客可利用此漏洞,打開Android內置語音助手Google Voice Search,自行撥打長途電話,取得用戶的行事歷及所在位置等,料受影響的用戶近5億。不過,他們已向Google匯報有關漏洞,建議用戶避免在第三方應用程式下載來歷不明的應用程式。
另外,劉永昌教授發現社交平台採用的開放授權認證系統(OAuth)存在漏洞,一些能取得較高授權的「超級應用程式(Super Application)」,可冒認應用程式開發者,透過用戶帳號發帖,甚至閱取用戶在平台上的私人照片。劉教授發現,12個主流社交平台中,有8個存在漏洞,但他不願透露是哪些社交平台,另外,他已獲得中大20萬元種子基金,未來希望申請創新科技基金,推出測試軟件,助第三方應用程式開發商測試其應用程式。劉建議用戶在使用不同應用程式時,避免「貪方便」,全以同一個社交平台帳戶身份登入。