Wednesday, February 19, 2014

手機Apps更新 藏洩密危機 授新權限 恐中招

手機Apps更新 藏洩密危機  
授新權限 恐中招
20/02/2014
   
手機應用程式五花八門,但有專家警告,近年手機播毒模式改變,不少用戶於更新程式後「中招」,節日性資訊的Apps更屬高危。程式更新時索取的新權限亦潛藏風險,或會令用戶的私密資料外洩。




自認「IT盲」的陳小姐,過去見手機出現提示,提醒更新應用程式時,都會隨手按下「全部更新」;直至最近留意到facebook更新時,要求讀取其日曆事件及機密資訊,才意識到更新程式背後或潛藏危機。

http://easss.com/softwares/antivirus

更新版審查鬆 節日資訊類高危

熟悉手機保安的F-Secure大中華區總監李力恆(Sam)說,近年愈來愈多不法之徒乘用戶更新程式時播毒。「首宗案例發生於兩年前,一個提供新年賀詞的惡意程式,於更新檔案中散播病毒。」

Sam解釋,Google Play Store及蘋果App Store均會嚴格審核上架程式,發現病毒即將作者列入黑名單。為逃過監察,黑客遂改在審查較寬鬆的更新版「出蠱惑」。他提醒:「節日性的Apps最易中招,例如聖誕節Wallpaper、節日祝福等。因開發這類程式較省時,且易吸引人更新。」

若更新了有毒程式,輕則手機內的聯絡資料被盜,用戶會受垃圾電話滋擾,嚴重者可致金錢損失。Sam指近來最常見的病毒,是會模擬用戶身份發送SMS至黑客開設的公司,訂購收費服務,從中謀利。另一種則會偷取機身編號,售予手機山寨廠,「這樣會產生兩部同編號的手機,或會影響原廠保養。」

被暗中監視 遭利用作殭屍攻擊

此外,不少程式更新時會索取新權限。香港專業教育學院(IVE)資訊及通訊科技系系主任梁秉雄指,部分看似普通的權限,實情暗藏危機。例如「控制相機及錄音機」可令用戶不知不覺間被監視;「直接撥打電話號碼」則可能被利用來提供長途電話服務。

梁指,近年不少手機被利用作「殭屍攻擊」,即是同時間瀏覽某個網站,令其系統癱瘓。「不要以為事不關己,因為被用作攻擊的手機,其數據用量會暴增,拖慢手機速度。」他稱,只要取得「完整的互聯網存取權」及「修改USB儲存裝置內容」兩個權限,程式作者即可利用該手機進行殭屍攻擊。

梁秉雄建議,除了為手機安裝防毒及防間諜軟件,更新程式前要先衡量其新增權限是否合理。「一旦同意授權,防毒軟件亦無法阻擋私隱洩漏!」

iOS保安勝Android Jailbreak不宜

智能手機操作平台中,目前以Android及iOS雙雄鼎立,各有擁躉,但究竟誰的安全性更高?香港電腦保安事故協調中心高級顧問梁兆昌直言:「對於心急的用家而言,iOS相對較安全。」
他解釋,Android手機下載程式時,會列出所需權限,要求用戶作出一次性授權:「你可以選擇的,只有下載或不下載。」iOS則會待用家使用程式時,才要求逐項授權,稍後亦可在手機內隨時取消授權,彈性較大。

雖然iOS的安全性較高,但使用時亦有較多限制,促使不少用家進行越獄(Jailbreak),將手機操作系統改頭換面。但梁兆昌警告指,Jailbreak等於拆除手機保安系統,令病毒及惡意程式可在其中任意妄為,變相「無王管」,勸喻用家不要嘗試。
記者:譚琦恩
 
手機Apps為生活帶來方便,但稍一不慎可令私隱盡失。
不少程式更新時會索取新權限。

No comments: