第24屆 DefCon 黑客大會雖已於日前落幕,但餘波不斷。繼「欺騙」特斯拉無人駕駛系統和「攻破」智能鎖之後, Android 系統亦在大會上被曝光存在嚴重漏洞。
網絡安全公司 Check Point 發表報告指出,19款配備高通(Qualcomm)晶片處理器的 Android 手機,隱藏4個嚴重安全漏洞,黑客利用惡意程式針對4個漏洞中任何1個,都可繞過所有保安限制,取得手機的完全控制權限。
這次發布的安全漏洞被統稱為「QuadRooter」,預料涉及超過9億部手機及平板電腦。Android 用戶若不慎安裝惡意應用程式,黑客不單可增減及存取裝置內資料及軟件,透過記錄鍵盤操作和追蹤裝置位置,還可盜取個人敏感資料及網上銀行密碼;黑客甚至可隨意啟動手機攝像頭或咪高峰等裝置內硬件,中招者等同被全天候竊聽及監視。受影響機種包括三星、LG 和 Sony 的最新款手機。
內置高通芯片組的Android設備中存在被統稱為「QuadRooter」的多個漏洞,攻擊者無需任何特殊權限便可利用惡意應用程式攻擊這些漏洞。
Check Point 發言人稱,研究團隊於今年2至4月陸續發現這些漏洞,至7月前已為全部4個漏洞製作修補程式,但要通過不同手機生產商才可供用戶更新。據科技網站 ZDNet 報道,Google的自有品牌 Nexus 手機已修補其中3個漏洞,餘下1個將在9月份的保安更新中被修復。
Check Point 建議 Android 裝置用戶切勿在 Google Play 以外下載及安裝不明來歷應用程式(.apk檔案)、不要使用未經驗證的 Wi-Fi 網絡,以及及時使用安全程式查找漏洞。
如果 Android 用戶擔心自己的手機或平板,可以在 Google Play 下載由 Check Point 提供的QuadRooter Scanner,檢查裝置是否受到感染及了解該如何採取行動。
之前網絡安全商賽門鐵克(Symantec)發布的《諾頓(Norton)流動裝置安全調查報告》中,多達37%受訪者在程式要求下從不拒絕開放任何權限予應用程式;調查亦發現,每10個香港受訪者中,便有1人因為流動裝置的問題而蒙受金錢損失。2015年間,香港因涉及流動裝置的罪行及滋擾行為造成的損失總額達29.8億港元,估計平均每人損失大約 8224 港元,而解決流動裝置問題的平均所需時間為18.5小時。
賽門鐵克亞洲區消費事業總監徐俊鴻表示:「此報告結果顯示大眾對流動裝置和應用程式的安全一直存在誤解,縱使愈來愈多消費者漸漸意識到安全的重要,並採取預防措施,但仍然有不少人總是在要求下便允許權限予免費的應用程式。」
聲音
黑客入侵手機後,可取得用戶的電郵及通話紀錄等,亦可翻查用戶的輸入記錄,或因而取得網上銀行登入名稱及密碼等個人資料。
建議手機用戶可藉Check Point提供的檢測應用程式(QuadRooter Scanner),檢驗Android手機有否受上述漏洞影響。
留意應用程式設定。當應用程式要求你開放某些設定時,要倍加留意,因為這舉動有可能促使你下載了危險的應用程式,導致你的裝置更容易受到攻擊。
