2015-7-10 10:47
sinta
Android語音系統有漏洞 Set密碼都冇符?
[youtube]lmzu-tZD2SA[/youtube]
【本報訊】中大工程學院研究發現,Android手機內置語音助手系統存在漏洞,只要暗中在手機安裝惡意程式,透過揚聲器直接對手機發出語音指令,繞過現有保護機制讓手機「自言自語」,輕易操控手機發短訊、打電話甚至查詢手機儲存的個人資料。
記者:馬志剛
中大工程學院信息工程系助理教授張克環的研究團隊,首次發現Android語音助手系統的保安漏洞,他們設計出「VoicEmployer」惡意程式,可操控仍然受密碼保護的手機。程式在啟動Google語音搜索後,經揚聲器播放惡意語音指令,讓手機自問自答,控制手機執行各種指示,例如致電指定號碼,或以用戶身份發短訊、發電郵,更可查詢儲存在手機的留言、日程紀錄、當前位置等,掌握用戶行蹤。
張克環補充,Android接受用已配對的藍芽咪發出語音指令,可繞過解鎖手機的程序,但蘋果iPhone的iOS仍未測試,所以不能確定iOS是否更安全。
研究團隊發現此漏洞後,已將漏洞向Google安全團隊通報,並提供更新建議,有關程式已修復部份問題。張克環建議智能手機用戶避免安裝來歷不明的程式,也不宜瀏覽不明網頁,以免黑客借機植入惡意程式。
[img]http://static.apple.nextmedia.com/images/apple-photos/apple/20150710/large/10la7p1.jpg[/img]
■信息工程系助理教授張克環(左)團隊發現Android手機的漏洞;旁為副教授劉永昌。
社交網站OAuth易入侵
信息工程系副教授劉永昌的團隊,則發現社交網站的認證系統存在保安漏洞。現時不少社交網站都採用「開放授權認證系統2.0」(OAuth),允許第三方應用程式在用戶的社交網頁存取部份個人資料,以便身份確認毋須再註冊。
由於OAuth存在多種授權方式,不少社交平台未有劃一系統。劉教授的團隊開發自動檢測軟件,發現黑客只須簡單改寫編碼,即可取得第三方應用程式的授權憑證,並冒認成該應用程式,向用戶發佈虛假信息,甚至獲取數以億計用戶的私隱資料。他們研究的12個社交網站當中,8個存在有關漏洞。
團隊已主動通知社交網絡服務供應商,並提供建議加強對用戶私隱的保障,及聯同Android語音助手漏洞,在去年的網絡安全學術會議及國際黑客大會發表研究結果,獲外國學術界、業界及傳媒關注。
[img]http://static.apple.nextmedia.com/images/apple-photos/apple/20150710/large/a1201a.gif[/img]
來源:[url]http://hk.apple.nextmedia.com/news/art/20150710/19214923?_ga=1.86379032.1446747252.1407231573[/url]