|
最嚴重漏洞 短訊入侵難察覺
Android作業系統獲全球8成手機採用,是最流行的操作系統,但系統安全屢受質疑。資訊科技保安公司Zimperium前日警告,發現Android存在至今的最嚴重保安漏洞,黑客只要知道目標人物的電話號碼,再傳送含有遙控執行碼的多媒體短訊(MMS),便可直接入侵手機,即使用家不打開可疑短訊,手機仍然會受控制,可謂防不勝防。
Zimperium指今次發現的漏洞源於「Stagefright」程式碼,它主要處理各種多媒體檔案,亦會自動讀取MMS的影片附件,原意是減省用家接到短訊後的等候時間,卻令不法之徒有機可乘。由於附件會自動讀取,黑客只要在MMS附加含惡意程式碼的片段,即可入侵目標手機,無須哄騙用家按下連結或打開附件。
可刪資料開鏡頭 易竊機密
Zimperium作業平台研究部門副主席德雷克指,攻擊甚至可來得無影無蹤,因為黑客傳送MMS後,已能全面控制手機,故他們可即時指示刪除訊息,這樣用家只會看見MMS通知,卻無從得知內容。假如時間配合理想,整個入侵過程可在深夜完成,用家一覺醒來後可能仍懵然不知,使用已被入侵的手機。
黑客亦能開啟應用程式、瀏覽或刪除儲存機內的資料,甚至打開咪高峰及鏡頭,竊取政治及商業機密可謂輕而易舉,情況比去年在OpenSSL加密系統發現的「Heartbleed」(心臟出血)更嚴重。估計Android 2.2版本以上的裝置均有被入侵風險,佔Android手機總數約95%,相當於9.5億部手機,但相信暫未有黑客利用漏洞入侵。
籲查詢廠商 Google推更新檔
德雷克透露曾於今年4月至5月向Google反映問題,並提供7個更新檔,48小時內便獲批。然而由於Android系統更新需由手機生產商負責推送,德雷克估計最多只有一半手機完成更新,呼籲用家向所屬裝置廠商查詢。
Google強調重視Android系統保安,已迅速推出更新檔,感謝德雷克的貢獻,又指Android仍有其他設定保護用戶資料。手機生產商方面,HTC表示本月初起向所有手機推送更新,會繼續有關計劃,其他主要廠商則未有消息。■《福布斯》/美國全國公共廣播電台/法新社/CNET網站/Zimperium網站
|
