Android手機、社交平台存保安漏洞

香港中文大學信息工程學系科研團隊，發現Android智能手機及至少8個主流社交平台出現保安漏洞，可在無聲無色下撥出收費電話，竊取用戶個人資料及相片；社交平台的開放授權認證系統，則可令黑客假裝為應用程式開發者，操控用戶的社交平台帳號發帖，存取用戶的私人照片、非公開活動狀態，甚至是朋友名單，料受影響用戶數以億計，惟他們已通知Google及相關社交平台，大部份漏洞已被堵塞。

手機語音助手愈來愈普及，中大信息工程學系教授張克環與其兩名研究生發現，Android手機的磁力傳感器、光線傳感器、陀螺儀及揚聲器等，都毋須用戶授權，便可自行啟用，故黑客可利用此漏洞，打開Android內置語音助手Google Voice Search，自行撥打長途電話，取得用戶的行事歷及所在位置等，料受影響的用戶近5億。不過，他們已向Google匯報有關漏洞，建議用戶避免在第三方應用程式下載來歷不明的應用程式。

另外，劉永昌教授發現社交平台採用的開放授權認證系統（OAuth）存在漏洞，一些能取得較高授權的「超級應用程式（Super Application）」，可冒認應用程式開發者，透過用戶帳號發帖，甚至閱取用戶在平台上的私人照片。劉教授發現，12個主流社交平台中，有8個存在漏洞，但他不願透露是哪些社交平台，另外，他已獲得中大20萬元種子基金，未來希望申請創新科技基金，推出測試軟件，助第三方應用程式開發商測試其應用程式。劉建議用戶在使用不同應用程式時，避免「貪方便」，全以同一個社交平台帳戶身份登入。