|
張克環(右)發現Android內置的語音助手系統存在保安漏洞,劉永昌(左)則發現社交網站的漏洞。 |
中評社香港7月10日電/近年智能手機、平板電腦大行其道,但系統的安全問題卻令人擔心,幸好中大信息工程學系的科研團隊在偵測有關隱患方面有重大突破。
香港文匯報報道,研究人員設計出惡意程式,測試到Android內置的Google語音助手系統,能讓黑客以遙距操控方式安裝惡意程式,並播放語音攻擊指令;另一團隊則以自動檢測軟件(OAuth Tester),發現獲Facebook、Instagram等社交網站廣泛採用的開放授權認證系統2.0(OAuth)能讓黑客假裝成應用程式,增加洩漏資料的風險。研究團隊已通知相關的營運商對症下藥,以免數以億計用戶被竊取個人資料。
中大信息工程學系助理教授張克環領導的團隊,去年發現Android內置的語音助手系統存在保安漏洞,遂設計出一套名為“VoicEmployer”的惡意程式,成功測試到黑客在未獲授權的情況下,能輕易繞過現有Android系統的數據保護機制,操控受密碼保護的手機,啟動Google語音搜索並播放惡意語音指令,例如任意撥號,又可以語音控制用戶的手機發送惡意短訊、電郵,甚至查詢手機的語音電郵(voicemail)、行事曆、當前位置等資料。據統計,全球逾5億名用家受到影響。
張克環舉例稱,黑客可向手機直接詢問手機用戶的日程,當Google語音搜索自動識別有關指令後,便會以語音反饋的形式回答用戶的下一個日程安排,令用戶資料遭外洩。
團隊發現此安全漏洞後,便即時將其運作方式及相關細節通知Google安全團隊,並提出建議。
Google去年修復語音搜索系統
Google最終在去年8月推出更新版本,修復了系統在鎖屏幕時會被操控的問題。
但張坦言,若用家未有為手機設定密碼保護,這些惡意程式仍可肆無忌憚地播放惡意語音指令,竊取更多資料。他提醒智能手機用戶應設定密碼保護,並盡量使用官方商店提供的應用程式,避免安裝來歷不明或盜版的應用程式。
|