會員登入 | ‧教育電子報 ‧工作紙下載
中大發現Android重大保安漏洞 2015.07.13
14090 14090

智能手機和現代人的生活密不可分,手機內往往載有大量個人資料,一旦保安出現漏洞,可能觸發私隱外泄。中文大學信息工程學系的研究團隊發現,Android手機內置的語音系統存有漏洞,估計全球逾五億用戶有可能蒙受風險。惡意軟件可以透過手機內置的語音系統,未經任何特別權限而讀取用戶的個人資料,包括行事曆、位置訊息等,甚至任意撥打電話和發送電郵,即使手機有密碼鎖保護,黑客仍可控制手機。研究團隊已向Google反映問題,目前已修正部分漏洞。

中大信息工程學系助理教授張克環表示,由於有關漏洞屬於系統性問題,較難直接預防,建議用家將手機作業系統更新至最新版本,以及只在官方平台下載應用程式。除了發現手機系統漏洞外,中大團隊亦發現社交網站廣泛採用的開放授權認證系統(OAuth 2.0)存在另一個保安漏洞。當社交網站和第三方應用在處理開放授權認證系統時,部分網站會採用安全性較低的授權模式,黑客可冒充應用程式的身分,向同一應用程式的使用者發放虛假式誤導訊息,而社交網站會允許個別應用程式有較高的權限,令黑客有機可乘,大量竊取用戶個人資料。目前在測試的十二個主流社交網站中,八個都有相關問題。中大信息工程學系副教授劉永昌表示,雖然以上發現的各項保安漏洞,用戶都不能自行修復,但只要避免下載及安裝不明來歷的應用程式,及加強個人資料的管理,便可減低私隱外泄的風險。

 

開放源碼 Open Source

Android屬於開放源碼系統,由於未必全部廠商都有為手機資料加密,令手機可能出現安全漏洞。開放源碼源於自由軟體運動,是指公開的軟體原始碼,使用者可以自由使用、下載、修改與散布自由軟體執行程式及程式原始碼。一般主流的商業軟體僅供使用者安裝及使用,而無法直接修改軟體。自由軟體運動主張免費分享技術資訊,開放源碼可以令軟體有機會進一步完善,令整個社會受惠。

 

閱讀理解

問︰今次發現的Android保安漏洞主要和哪個系統有關?

答︰保安漏洞主要在手機內置的語音系統。惡意程式可透過語音系統操控手機及竊取用戶個人資料。

 

思考題

1.Android用戶既然無法自行修復保安漏洞,那可以怎樣減低漏洞有可能導致的安全風險?

2.智能手機使用開放源碼系統有何利弊?

TOP