中大發現Android重大保安漏洞

智能手機和現代人的生活密不可分，手機內往往載有大量個人資料，一旦保安出現漏洞，可能觸發私隱外泄。中文大學信息工程學系的研究團隊發現，Android手機內置的語音系統存有漏洞，估計全球逾五億用戶有可能蒙受風險。惡意軟件可以透過手機內置的語音系統，未經任何特別權限而讀取用戶的個人資料，包括行事曆、位置訊息等，甚至任意撥打電話和發送電郵，即使手機有密碼鎖保護，黑客仍可控制手機。研究團隊已向Google反映問題，目前已修正部分漏洞。

中大信息工程學系助理教授張克環表示，由於有關漏洞屬於系統性問題，較難直接預防，建議用家將手機作業系統更新至最新版本，以及只在官方平台下載應用程式。除了發現手機系統漏洞外，中大團隊亦發現社交網站廣泛採用的開放授權認證系統（OAuth 2.0）存在另一個保安漏洞。當社交網站和第三方應用在處理開放授權認證系統時，部分網站會採用安全性較低的授權模式，黑客可冒充應用程式的身分，向同一應用程式的使用者發放虛假式誤導訊息，而社交網站會允許個別應用程式有較高的權限，令黑客有機可乘，大量竊取用戶個人資料。目前在測試的十二個主流社交網站中，八個都有相關問題。中大信息工程學系副教授劉永昌表示，雖然以上發現的各項保安漏洞，用戶都不能自行修復，但只要避免下載及安裝不明來歷的應用程式，及加強個人資料的管理，便可減低私隱外泄的風險。

開放源碼 Open Source

Android屬於開放源碼系統，由於未必全部廠商都有為手機資料加密，令手機可能出現安全漏洞。開放源碼源於自由軟體運動，是指公開的軟體原始碼，使用者可以自由使用、下載、修改與散布自由軟體執行程式及程式原始碼。一般主流的商業軟體僅供使用者安裝及使用，而無法直接修改軟體。自由軟體運動主張免費分享技術資訊，開放源碼可以令軟體有機會進一步完善，令整個社會受惠。

閱讀理解

問︰今次發現的Android保安漏洞主要和哪個系統有關？

答︰保安漏洞主要在手機內置的語音系統。惡意程式可透過語音系統操控手機及竊取用戶個人資料。

思考題

1.Android用戶既然無法自行修復保安漏洞，那可以怎樣減低漏洞有可能導致的安全風險？

2.智能手機使用開放源碼系統有何利弊？