中大程式揭手機社交網「黑」隱患

http://paper.wenweipo.com [2015-07-10]

放大圖片

■張克環(右)發現Android內置的語音助手系統存在保安漏洞，劉永昌(左)則發現社交網站的漏洞。鄭伊莎攝

香港文匯報訊（記者鄭伊莎）近年智能手機、平板電腦大行其道，但系統的安全問題卻令人擔心，幸好中大信息工程學系的科研團隊在偵測有關隱患方面有重大突破。

研究人員設計出惡意程式，測試到Android內置的Google語音助手系統，能讓黑客以遙距操控方式安裝惡意程式，並播放語音攻擊指令；另一團隊則以自動檢測軟件（OAuth Tester），發現獲Facebook、Instagram等社交網站廣泛採用的開放授權認證系統2.0（OAuth）能讓黑客假裝成應用程式，增加洩漏資料的風險。研究團隊已通知相關的營運商對症下藥，以免數以億計用戶被竊取個人資料。

中大信息工程學系助理教授張克環領導的團隊，去年發現Android內置的語音助手系統存在保安漏洞，遂設計出一套名為「VoicEmployer」的惡意程式，成功測試到黑客在未獲授權的情況下，能輕易繞過現有Android系統的數據保護機制，操控受密碼保護的手機，啟動Google語音搜索並播放惡意語音指令，例如任意撥號，又可以語音控制用戶的手機發送惡意短訊、電郵，甚至查詢手機的語音電郵（voicemail）、行事曆、當前位置等資料。據統計，全球逾5億名用家受到影響。

張克環舉例稱，黑客可向手機直接詢問手機用戶的日程，當Google語音搜索自動識別有關指令後，便會以語音反饋的形式回答用戶的下一個日程安排，令用戶資料遭外洩。

團隊發現此安全漏洞後，便即時將其運作方式及相關細節通知Google安全團隊，並提出建議。

Google去年修復語音搜索系統

Google最終在去年8月推出更新版本，修復了系統在鎖屏幕時會被操控的問題。

但張坦言，若用家未有為手機設定密碼保護，這些惡意程式仍可肆無忌憚地播放惡意語音指令，竊取更多資料。他提醒智能手機用戶應設定密碼保護，並盡量使用官方商店提供的應用程式，避免安裝來歷不明或盜版的應用程式。

另一項研究由同系副教授劉永昌及其團隊兩名研究生胡辟礫及楊榮海進行。劉指出，現時社交網站如Facebook、Instagram、新浪微博、百度等廣泛採用的開放授權認證系統2.0，即Open Authentication Protocol （OAuth）亦存有漏洞。

黑客取權限升級竊社交網用戶資料

劉永昌解釋：「黑客可假裝成應用程式的身份，取得權限升級，竊取數以億計社交網站用戶的照片、活動狀態、朋友關係及手機等個人資料，並可監察用戶在網上活動狀況。」團隊在研究的12個主流社交網站中，已發現8個存在假裝應用程式漏洞，故已通知受影響的社交網絡服務供應商。

為測試應用程式及社交網站的安全性，團隊開發出一個自動檢測軟件（OAuth Tester），結果發現逾55%、即405個被測試的應用程式，出現不同的保安漏洞。劉永昌稱團隊已申請中大的種子基金，進一步研究該檢測軟件。但他指出，大多數用戶並不知道哪些網站或應用程式存有漏洞，亦不知道個人資料何時被竊取，根本防不勝防，「所以只有依靠社交網站和第三方應用程式開發者來堵塞漏洞。」

中大程式揭手機社交網「黑」隱患

點擊排行榜

新聞專題