日報

高通晶片存在嚴重安全漏洞,或影響高達9億部Android設備

刊登於 2016-08-10

Android電話出現漏動,逾九億用家可能受影響。圖為一個人在車廂內使用電話。
據估計,受這些漏洞影響的 Android 用戶人數可能高達九億。

第24屆 DefCon 黑客大會雖已於日前落幕,但餘波不斷。繼「欺騙」特斯拉無人駕駛系統和「攻破」智能鎖之後, Android 系統亦在大會上被曝光存在嚴重漏洞。

網絡安全公司 Check Point 發表報告指出,19款配備高通(Qualcomm)晶片處理器的 Android 手機,隱藏4個嚴重安全漏洞,黑客利用惡意程式針對4個漏洞中任何1個,都可繞過所有保安限制,取得手機的完全控制權限。

這次發布的安全漏洞被統稱為「QuadRooter」,預料涉及超過9億部手機及平板電腦。Android 用戶若不慎安裝惡意應用程式,黑客不單可增減及存取裝置內資料及軟件,透過記錄鍵盤操作和追蹤裝置位置,還可盜取個人敏感資料及網上銀行密碼;黑客甚至可隨意啟動手機攝像頭或咪高峰等裝置內硬件,中招者等同被全天候竊聽及監視。受影響機種包括三星、LG 和 Sony 的最新款手機。

內置高通芯片組的Android設備中存在被統稱為「QuadRooter」的多個漏洞,攻擊者無需任何特殊權限便可利用惡意應用程式攻擊這些漏洞。

香港電腦保安事故協調中心發出「極度危險」警告

Check Point 發言人稱,研究團隊於今年2至4月陸續發現這些漏洞,至7月前已為全部4個漏洞製作修補程式,但要通過不同手機生產商才可供用戶更新。據科技網站 ZDNet 報道,Google的自有品牌 Nexus 手機已修補其中3個漏洞,餘下1個將在9月份的保安更新中被修復。

Check Point 建議 Android 裝置用戶切勿在 Google Play 以外下載及安裝不明來歷應用程式(.apk檔案)、不要使用未經驗證的 Wi-Fi 網絡,以及及時使用安全程式查找漏洞。

如果 Android 用戶擔心自己的手機或平板,可以在 Google Play 下載由 Check Point 提供的QuadRooter Scanner,檢查裝置是否受到感染及了解該如何採取行動。

之前網絡安全商賽門鐵克(Symantec)發布的《諾頓(Norton)流動裝置安全調查報告》中,多達37%受訪者在程式要求下從不拒絕開放任何權限予應用程式;調查亦發現,每10個香港受訪者中,便有1人因為流動裝置的問題而蒙受金錢損失。2015年間,香港因涉及流動裝置的罪行及滋擾行為造成的損失總額達29.8億港元,估計平均每人損失大約 8224 港元,而解決流動裝置問題的平均所需時間為18.5小時。

賽門鐵克亞洲區消費事業總監徐俊鴻表示:「此報告結果顯示大眾對流動裝置和應用程式的安全一直存在誤解,縱使愈來愈多消費者漸漸意識到安全的重要,並採取預防措施,但仍然有不少人總是在要求下便允許權限予免費的應用程式。」

2714
網絡安全公司賽門鐵克發表報告,指去年1月至今年4月間,香港共錄得2714宗感染勒索軟件的個案,單計今年首季則有558宗,較去年同期大增55%。

聲音

黑客入侵手機後,可取得用戶的電郵及通話紀錄等,亦可翻查用戶的輸入記錄,或因而取得網上銀行登入名稱及密碼等個人資料。

香港資訊科技商會資訊保安召集人范健文

建議手機用戶可藉Check Point提供的檢測應用程式(QuadRooter Scanner),檢驗Android手機有否受上述漏洞影響。

香港電腦保安事故協調中心高級顧問梁兆昌

留意應用程式設定。當應用程式要求你開放某些設定時,要倍加留意,因為這舉動有可能促使你下載了危險的應用程式,導致你的裝置更容易受到攻擊。

Norton流動裝置安全調查報告

DefCon黑客大會

DefCon 黑客大會,又稱電腦黑客秘密大派對,誕生於1992年,舉辦地位於美國的拉斯維加斯。DefCon 黑客大會是黑客們結識朋友以及展示實力的一個國際平台,參會者除了來自世界各地的黑客以外,還有全球各大廠商的代表以及美國國防部、聯邦調查局、國家安全局等政府機構的官員。2013年,由於受斯諾登事件影響,美國聯邦政府官員首次被拒絕參會。(資料來自維基百科)

來源:ZDNetBBCUNWIREAM730

本刊載內容版權為端傳媒或相關單位所有,未經端傳媒編輯部授權,請勿轉載或複製,否則即為侵權。

延伸閱讀