中大研檢測手機App漏洞軟件

  【大公報訊】記者陳卓康報道:手機 App經授權連結社交平台愈趨普遍,但中文大學資訊工程學系研究發現,十二個主流社交網站當中,八個的授權認證功能存有漏洞,逾六成應用程式可被駭客輕易冒認,發送虛假誤導資料,甚至盜取數以億計用户的個人資料。另一研究亦發現Android手機內置“語音助手”系統,有機會成為“內鬼”被駭客遙距操控,利用語音“套料”問出機主的私隱,估計全球約五億用户受威脅。

  中文大學資訊工程學系副教授劉永昌昨日指出,現時社交網站廣泛採用“開放授權認證系統2.0”(簡稱OAuth),允許第三方應用程式確認用户身份,毋須用户另行輸入密碼,並於取得授權後存取資料,惟駭客只須簡單改寫編碼偷換成安全性較低的授權方式,便可輕易冒認為該程式,向用户發帖散播虛假或誤導訊息,如程式本身獲社交網站批予特高權限,駭客亦可取得“升級權限”,短時間內可盜取數以億計用户的姓名、電郵、照片等個人資料,例如誘使用户點擊進入釣魚網站。

  劉永昌稱,過去一年研究十二個常見的主流社交網站平台,其中八個存在假裝應用程式漏洞,兩個平台的用户無法取消與該平台有合作關係的應用程式的授權。其團隊開發出自動檢測軟件OAuth Tester,去年五月測試405個應用程式中,62.69%有假裝應用程式的風險。

  他表示,部分受影響的網路供應商獲研究團隊通知後已加強防護,但由於程式開發者眾多,“最大問題系寫App?人太多,好多人保安意識及能力唔夠高”,因此其團隊正為軟件申請科研種子基金,如獲批最快一年可正式運作,讓社交網站測試過第三方程式的安全性後才“上架”。

  此外,資訊工程學系助理教授張克環的團隊就首次發現,駭客可透過不同途徑讓目標下載安裝惡意程式,用户手機即使以密碼鎖屏,仍可遙距攻入揚聲器播放語音攻擊指令,啟動手機內置的Google語音識別功能,控制用户手機撥打惡意電話,發送昂貴短訊,或詢問用户儲存在手機的個人資料。

責任編輯:大公網

熱聞

  • 圖片

大公出品

大公視覺

大公熱度