Android 语音助手助黑客偷取资料

刘永昌教授(左)及张克环教授发现社交网站及只能手机保安漏洞。中大工程学院发现社交网站及只能手机保安漏洞引起全球关注

香港中文大学(中大)信息工程学系的科硏团队,近年致力研究及分析网络系统的安全及防护,其中张克环教授及刘永昌教授分别成功检测到Android平台及社交网站的重大保安漏洞,已率先于世界顶级的网络安全学术会议(ACM Conference on Computer and Communications Security 2014) 及国际黑客大会(Black Hat USA 2014) 上发表,引起学术界、业界及媒体广泛关注。

张克环教授领导的团队首次发现Android内置的语音助手系统存在保安漏洞,让黑客在用家不察觉的情况下,以遥距操控方式,在用家的智能手机上安装一个恶意程式,播放语音攻击的指令,透过语音助手对指令的反馈,窃取大量用户的私隐信息或资料,轻易绕过现有Android系统的数据保护机制。据统计,约有超过5亿名手机及平板电脑用户受到影响。

张教授的团队设计了一套名为「VoicEmployer」的恶意程式,发现黑客可在未获授权的情况下,操控受密码保护的手机,启动Google语音搜索并播放恶意语音指令,例如任意拨号。黑客更可遥距启动手机用户的Google语音识别功能,以语音控制用户的手机发送恶意短讯、电邮,甚至查询用户储存在手机的个人资料,如语音电邮(voicemail)、行事历、当前位置等内容。例如,黑客可向手机直接询问手机用户的日程,当Google语音搜索自动识别这个指令后,便会以语音反馈的形式回答用户的下一个日程安排。

张教授表示:「我们在发现此安全漏洞后,已即时将其运作方式及相关细节通知了Google安全团队,并提供更新建议。Google语音搜索的更新版本中,已修复了部分问题。我们建议智能手机用户应尽量使用官方商店提供的应用程式,避免安装来历不明的应用程式。」

刘永昌教授及其研究生胡辟砾和杨荣海发现,现时社交网站广泛采用的开放授权认证系统2.0 (Open Authentication Protocol ,简称OAuth) 存在很大的漏洞,让黑客可假装成应用程式的身份,取得权限升级,窃取数以亿计社交网站用户的个人资料,并可监察用户的网上活动状况。为此,刘教授及其团队开发了一个自动检测软件(OAuth Tester),以测试多个应用程式及社交网站的安全性,结果发现超过一半被测试的应用程式,因未有正确使用OAuth 2.0而出现不同的保安漏洞。

OAuth是一个标准的通讯协定,允许第三方应用程式在用户的社交网站上存取资料(如用户之发帖、照片、活动状态及朋友关系等)。第三方应用程式可通过这些个人资料,确定用户的身份,而无需用户提供密码予该应用程式。 OAuth 2.0中有不同的授权方式,由于不少社交平台缺乏把关,黑客只须简单改写编码便可选择使用安全性较低的授权方式,取得第三方应用程式的授权权杖(token),并假装成该应用程式。由于某些社交平台会给予个别应用程式特高的权限,黑客以上述方法取得升级权限。

刘教授表示:「在我们研究的十二个主流社交网站中,有八个存在假装应用程式的漏洞,可对用户造成不同程度的危害。最普遍的是黑客可以冒充应用程式发送虚假或误导的信息予使用者,甚至可以在短时间内获取数以亿计用户的私隐资料。我们还发现两个社交平台有逻辑错误,导致用户无法取消与该平台有合作关系的第三方应用程式的授权。」

研究团队已主动通知受影响之社交网络服务供应商,并提供建议以加强对用户私隐的保障。由于大多数用户并不知悉这些漏洞,防不胜防,因此须依靠社交网站和第三方应用程式开发者来堵塞漏洞。部份主流社交平台亦已推出相关的防护机制。

2015年9月17日

欧亚时报讯 ■

此文章还有以下语言版本: English

发表评论