› 選擇地區
三藩市
紐約
洛杉磯
其他美國地區
蘋果基金 Next Digital
香港  台灣 
2015年07月10日

惡意程式利用Google語音系統漏洞
Android機「自言自語」洩私隱

32,743

【本報訊】中大工程學院研究發現,Android手機內置語音助手系統存在漏洞,只要暗中在手機安裝惡意程式,透過揚聲器直接對手機發出語音指令,繞過現有保護機制讓手機「自言自語」,輕易操控手機發短訊、打電話甚至查詢手機儲存的個人資料。
記者:馬志剛

中大工程學院信息工程系助理教授張克環的研究團隊,首次發現Android語音助手系統的保安漏洞,他們設計出「VoicEmployer」惡意程式,可操控仍然受密碼保護的手機。程式在啟動Google語音搜索後,經揚聲器播放惡意語音指令,讓手機自問自答,控制手機執行各種指示,例如致電指定號碼,或以用戶身份發短訊、發電郵,更可查詢儲存在手機的留言、日程紀錄、當前位置等,掌握用戶行蹤。
張克環補充,Android接受用已配對的藍芽咪發出語音指令,可繞過解鎖手機的程序,但蘋果iPhone的iOS仍未測試,所以不能確定iOS是否更安全。
研究團隊發現此漏洞後,已將漏洞向Google安全團隊通報,並提供更新建議,有關程式已修復部份問題。張克環建議智能手機用戶避免安裝來歷不明的程式,也不宜瀏覽不明網頁,以免黑客借機植入惡意程式。

社交網站OAuth易入侵

信息工程系副教授劉永昌的團隊,則發現社交網站的認證系統存在保安漏洞。現時不少社交網站都採用「開放授權認證系統2.0」(OAuth),允許第三方應用程式在用戶的社交網頁存取部份個人資料,以便身份確認毋須再註冊。
由於OAuth存在多種授權方式,不少社交平台未有劃一系統。劉教授的團隊開發自動檢測軟件,發現黑客只須簡單改寫編碼,即可取得第三方應用程式的授權憑證,並冒認成該應用程式,向用戶發佈虛假信息,甚至獲取數以億計用戶的私隱資料。他們研究的12個社交網站當中,8個存在有關漏洞。
團隊已主動通知社交網絡服務供應商,並提供建議加強對用戶私隱的保障,及聯同Android語音助手漏洞,在去年的網絡安全學術會議及國際黑客大會發表研究結果,獲外國學術界、業界及傳媒關注。

追實城中突發大小事,即 like 蘋果【現場】FB!
返回最頂
香港 台灣 用戶登入 新登記 私隱聲明 服務條款 刊登廣告 聯絡我們 招聘 訂閱版: 壹週刊|    飲食男女|    Ketchup
© 2017 AD Internet Limited. All rights reserved. 版權所有 不得轉載