港中大程序揭社交网站“黑”隐患
中新网7月10日电 据香港《文汇报》报道,香港中文大学研究团队检测到,Android内置的Google语音助手系统,能让黑客以远程操控方式安装恶意软件,并播放语音攻击指令;另外,获Facebook、Instagram等社交网站广泛采用的开放授权认证系统2.0(OAuth)能让黑客假装成应用程序,增加泄漏数据的风险。
据报道,港中大信息工程学系助理教授张克环领导的团队,去年发现Android内置的语音助手系统存在安全漏洞,遂设计出一套名为“VoicEmployer”的恶意软件,成功测试到黑客在未获授权的情况下,能轻易绕过现有Android系统的数据保护机制,操控受密码保护的手机,启动Google语音搜索并播放恶意语音指令,如任意拨号,还可以语音控制用户的手机发送恶意短讯、电邮,甚至查询手机的语音电邮(voice mail)、行事历、当前位置等数据。据统计,全球逾5亿名用家受到影响。
张克环举例称,黑客可向手机直接询问手机用户的日程,当Google语音搜索自动识别有关指令后,便会以语音反馈的形式回答用户的下一个日程安排,令用户数据遭外泄。
团队发现此安全漏洞后,便即时将其运作方式及相关细节通知Google安全团队,并提出建议。
Google最终在去年8月推出更新版本,修复了系统在锁屏幕时会被操控的问题。
但张坦言,若用户没有为手机设定密码保护,这些恶意软件仍可肆无忌惮地播放恶意语音指令,窃取更多数据。他提醒智能手机用户应设定密码保护,并尽量使用官方商店提供的应用程序,避免安装来历不明或盗版的应用程序。
另一项研究由同系副教授刘永昌及其团队两名研究生胡辟砾及杨荣海进行。刘指出,现时社交网站如Facebook、Instagram、新浪微博、百度等广泛采用的开放授权认证系统2.0,即Open Authentication Protocol (OAuth) 亦存有漏洞。
刘永昌解释:“黑客可假装成应用程序的身份,取得权限升级,窃取数以亿计社交网站用户的照片、活动状态、朋友关系及手机等个人资料,并可监察用户在网上活动状况。”团队在研究的12个主流社交网站中,已发现8个存在假装应用程序漏洞,已通知受影响的社交网络服务供货商。
为测试应用程序及社交网站的安全性,团队开发出一个自动检测软件(OAuth Tester),结果发现逾55%,即405个被测试的应用程序,出现不同的安全漏洞。
刘永昌称团队已申请中大的种子基金,进一步研究该检测软件。但他指出,大多数用户并不知道哪些网站或应用程序存有漏洞,亦不知道个人资料何时被窃取,根本防不胜防,“所以只有依靠社交网站和第三方应用程序开发者来堵塞漏洞。”