热门程序资料保护不足 三星苹果存被骇风险


(吉隆坡19日讯)骇客可轻易“骇”入手机,盗取资料甚至窃听及拍照?
全球共有三家研究中心接二连三揭露主要大牌手机商和手机应用程序设置存有漏洞,其中韩国知名品牌三星的手机内建键盘更新程序被指存漏洞、美国大牌苹果的AppStore被指防不住恶意程序商家、另有德国研究机构指许多热门程序资料保护工作不足。
这次三星和苹果手机被揭露的主要是内部漏洞,即不是用户从外部能够解决的问题,也不是换个程式就能解决的问题。而两所机构的研究人员都是在等待多时都没有结果的情况下,对外公布这些漏洞。

未有解决方案
其中网络安全公司NowSecure是在去年12月向三星告知有关漏洞的问题,而来自美国印第安纳大学的研究团队则是在去年10月就告知,但两家手机企业大头都没能在半年至8个月的事件内提出解决方案。
6亿台三星手机受影响骇客可操控传感器和应用
国外网络安全公司NowSecure周三提出,全球有接近6亿台三星手机仍受到一种去年发现的一处安全漏洞影响,主要是三星GalaxyS4,和较后的机型如Galaxy S4 Mini、S5和新机型S6,无一幸免。
没方案能解决漏洞
该公司声称,在此漏洞下,骇客可以利用该漏洞欺骗键盘的代理服务系统,从而操控手机的传感器和应用,甚至还能秘密安装恶意软件。
这也代表骇客可以利用该漏洞窃听用户的通话,查看短信和联系人,或打开麦克风录音。
关键是,研究人员称这种内建的手机键盘是“无法被卸载、取代,使用另一个键盘程式也没有用”,即目前其实并没有什么方案能够解决这个漏洞。
NowSecure是在2014年11月时就联系上三星,12月16日三星回复指需要更多时间来解决漏洞,尔后也在12月31日表示需一年修复该漏洞。
NowSecure和三星多次沟通,而三星今年3月也宣称,已开发出安全补丁给运营商。这两家公司约定,可以在三个月后公布该漏洞。
根据《华尔街时报》NowSecure在接受海外媒体访问时也称,“截至本周,还没有发现有三星手机被打上补丁。”
漏洞严重程度达8.3级
NowSecure总执行长胡格也说,若把网络保安问题以1至10分级,今次漏洞的问题达到8.3级严重程度。
忧窃取国家机密
该公司强调入侵过程虽不容易,但因不少官员都使用三星手机,尤其是通过美国国家安全局认可,批准美官员使用,令人忧虑骇客可窃取国家机密。
“速键”公司已发表声明承认软件有缺陷,但强调漏洞有时间性,只会在升级时才可被骇客乘虚而入。
三星近期更新安全系统
三星在有关公布后,在周四就宣布将在近期内提供“安全系统更新”,解决系统内所存在的问题。
该公司在公布此消息的文告内声称,若骇客要使用这个漏洞,其实是需要非常特定的情况,包括用户和骇客必须在语言更新时,处在同一个未受保护的网络上。
成功攻击漏洞几率低
“在一个被KNOX(三星安全程序)保护的手机,也有额外防护如即时核心保障,阻止有关恶意攻击有效发生。”
该公司声称,要成功攻击及滥用这些漏洞的几率很低,过去也从来没有Galaxy系列的用户投诉,其键盘的更新程序所存在的漏洞遭到滥用。
“但是就如这些报告所说,风险仍然存在,而三星也将会在近日内推出安全设施的更新。”
躲过苹果检测上架 恶意程序截取用户资料
向来以严明谨慎著称的苹果App Store也被美国印第安纳州大学研究院发现,含有恶意的程序能够躲过苹果相关单位的检测,同样能够上架,最终或导致用户资料如密码和用户名称(Username)等被恶意程序截取。
“跨程序”截取资料
印第安纳大学电脑科学教授汪晓峰(译音)和其团队就揭露,号称能够为用户收藏密码的苹果程式钥匙圈(Key chain),可能被骇客以跨程序的方式入侵,截取用户的密码。
这样的入侵方式不只是威胁到这个程序,反而其他程序如ICloud账户、照片、电邮、社交网站等程序的资料都可能被截取,因为研究显示一些恶意程序能够通过“跨程序”(crossover)的方式,截取原不属于该程序的资料。
汪晓峰等人的研究显示,恶意程序能够删除用户原先的密码,并在用户重新输入时,就解决这些资讯。
为了证明他们的说法正确,他们也上传了一个载有恶意程序的手机应用程序,而苹果App Store方面也没能发现,并让他们上架。
报告说,研究人员所研究的1612个程序中,共有89%存在类似的风险。
汪晓峰等在周二向媒体发布这项讯息时说,若继续隐瞒此事,对苹果用户不公平。
“如果他们真的严厉看待此事,问题可能已经解决了。”
他也向媒体透露,其实研究结果还发现另一种更严重的网络攻击漏洞,只是目前并没有公开此事。
云端5600万组数据未受保护
有些人可能因此庆幸自己并没有使用苹果或是三星,但是达姆施塔特工业大学和德国研究机构Fraunhofer旗下的网络安全技术部门(Fraunhofer SIT)上个月就已揭露云端上面共有5600万组未受保护的数据,包括电邮、密码、身体健康的记录等敏感资料,能够轻易成为骇客囊中物。
研究显示,大多的程序开发公司使用云端数据库来收藏用户的资料,但很多人都无视了云端服务供应者的安全建议,导致用户成为资料盗窃的受害者。
率领这次研究的艾力博登教授说:“因此用户必须了解,他们要为程序提供什么样的数据。”
目前大多的手机应用程序使用云端数据库,主要是为了方面在不同平台的数据同步。
出售电邮散播病毒 骇客能改变资料
研究中提到,云端服务的供应者按照数据敏感性提供不同方式的认证,而最简单的是通过一个API凭证,但是现在的骇客除了能够读取资料,更能够借此改变资料。
“这些还可以出售电邮给地下市场、威胁用户、散播恶意软件和病毒等。”
若要保护好用户资料,其实这些程序应该落实访问控制系统(access-control scheme),然而研究显示许多主要的程序都没有使用。
该研究也检测了在苹果App Store和谷歌Play Store上的75万个应用程序,鉴定该程序使用的认证程序的强弱程度,而结果显示取得的许多数据包括个人电邮、全名、甚至是和精神疾病相关的资料,而且存在被窃取或扭曲的风险。


上则新闻 下则新闻
南洋商报官网 | Nanyang Siang Pau Official Website
南洋商报有限公司版权所有 | Copyright © Nanyang Siang Pau Sdn Bhd
Solution Powered by