第24届DefCon黑客大会虽已于日前落幕,但余波不断。继“欺骗”特斯拉无人驾驶系统和“攻破”智能锁之后,Android手机亦在大会上被曝光存在严重漏洞。
网络安全公司Check Point 发表报告指出,19款配备高通(Qualcomm)芯片处理器的Android手机,隐藏4个严重安全漏洞,黑客利用恶意程序针对4个漏洞中任何1个,都可绕过所有保安限制,取得Android装置的完全控制权限。
这次发布的安全漏洞被统称为“QuadRooter”,预料涉及超过9亿部手机及平板电脑。Android用户若不慎安装恶意应用程序,黑客不单可增减及存取装置内资料及软件,透过记录键盘操作和追踪装置位置,还可盗取个人敏感资料及网上银行密码;黑客甚至可随意启动手机摄像头或麦克风等装置内硬件,中招者等同被全天候窃听及监视。受影响机种包括Samsung、LG和Sony的最新款手机。
内置高通芯片组的Android设备中存在被统称为“QuadRooter”的多个漏洞,攻击者无需任何特殊权限便可利用恶意应用程序攻击这些漏洞。
Check Point发言人称,研究团队于今年2至4月陆续发现这些漏洞,至7月前已为全部4个漏洞制作修补程序,但要通过不同手机生产商才可供用户更新。据科技网站ZDNet报道,Google的自有品牌Nexus手机已修补其中3个漏洞,余下1个将在9月份的保安更新中被修复。
Check Point建议Android装置用户切勿在Google Play以外下载及安装不明来历应用程序(.apk档案)、不要使用不能核证的Wi-Fi网络,以及应该使用反病毒及查漏洞的网络安全程序。
如果Android用户担心自己的手机或平板,可以在Google Play免费下载由Check Point提供的QuadRooter Scanner,检查装置是否受到感染及了解该如何采取行动。
之前Symantec发布的《Norton流动装置安全调查报告》显示,多达37%受访者在程序要求下从不拒绝开放任何权限予应用程序;调查亦发现,每10个香港受访者中,便有1人因为流动装置的问题而蒙受金钱损失。2015年间,香港因涉及流动装置的罪行及滋扰行为造成的损失总额达29.8亿港元,估计平均每人损失大约8,224 港元,而解决流动装置问题的平均所需时间为18.5小时。
Symantec亚洲区消费事业总监徐俊鸿表示:“此报告结果显示大众对流动装置和应用程序的安全一直存在误解,纵使愈来愈多消费者渐渐意识到安全的重要,并采取预防措施,但仍然有不少人总是在要求下便允许权限予免费的应用程序。”
声音
黑客入侵手机后,可取得用户的电邮及通话纪录等,亦可翻查用户的输入记录,或因而取得网上银行登入名称及密码等个人资料。
建议手机用户可借Check Point提供的检测应用程序(QuadRooter Scanner),检验Android手机有否受上述漏洞影响。
留意应用程序设定。当应用程序要求你开放某些设定时,要倍加留意,因为这举动有可能促使你下载了危险的应用程序,导致你的装置更容易受到攻击。