三大漏洞添可乘之機

http://paper.wenweipo.com [2014-10-01] 我要評論

一、機種多更新慢

蔡建華指出，現時Android系統保安上存在三大問題。首先是使用Android系統的手機並非每個型號均可更新至最新版本，未能定期除蟲防毒，做好保安防護工作。現今電腦病毒日新月異，電腦的防毒軟件亦要經常更新，但使用Android系統的手機生產商，每年推出大量高、中、低階手機，卻在系統更新方面，特別是中低階手機，遠遠追不上出機的速度。

蔡建華表示，現時大部分手機在推出一年後便不會再提供系統更新，市面上許多手機的操作系統仍停留在一兩年前的版本。他續指，手機的保安是通過升級系統軟件作出更新，手機系統過時代表駭客隨時有機可乘。

二、App審批太寬鬆

手機應用程式（App）審批過於寬鬆，亦令駭客可輕易發布內藏木馬程式的Apps。蔡建華表示，現時一個新App要在蘋果的App Store上架，必須經過嚴格審查，一般需要一兩星期時間，「但在Google Play上架最快只要一分鐘」。因為Google Play的做法是「事後審查」，在有用戶「中伏」後或接到投訴才會查核該App，將其下架。這就有如警察巡邏，待有事發生才出動，並不如蘋果般，早在事情發生前將其攔截下來，避免用戶「中招」。

三、非官方App多藏毒

不少駭客會下載Android App整個安裝檔（.apk）後作出改動，如加入木馬程式等，再重新包裝放上網供用戶下載。蔡建華表示，Google Play是一個較為安全的下載來源，但事實上Android用戶還有不少途徑可以下載App的安裝檔（.apk），這些非官方的渠道大多缺乏審查，使用時風險非常大。例如早前就傳出，有內地手機應用商店會「改裝」WhatsApp、facebook等軟件，再將用戶的個人訊息傳到內地。駭客更可將木馬程式加入「山寨App」，以盜取個人密碼、信用卡資料、通訊錄、電子郵件地址等圖利。

另外，今年第一季最熱門的Android遊戲Flappy Bird，上架僅一個月便累積超過5,000萬下載次數，開發者卻在此時決定將其下架。當時下架不但沒有讓遊戲熱潮降溫，反引起大眾好奇，有駭客趁機將程式改裝，推出含木馬版本的遊戲App。其中一個木馬版本更會要求用戶允許開發者發送短訊，用戶的月費便因此飆高。