TrendLabs數位生活指南 - 資安趨勢部落格

12個最常被濫用的Android應用程式權限

2014 年 10 月 17 日2014 年 10 月 17 日趨勢科技 TrendMicro

Android應用程式需要權限才能正常運作。不過網路犯罪分子會將其用在個人私利上。來看看最常被要求的權限以及它們會如何被濫用。

網路定位功能
圖片來源：Evan-Amos / Wikimedia Commons / Public Domain

這代表什麼：允許應用程式透過網路定位（像是基地台或無線網路）來取得大概位置。應用程式開發人員可以用它從基於位置的廣告獲利。

它如何被濫用：惡意應用程式用它來發動基於位置的攻擊或惡意軟體。比方說，網路犯罪分子可以將俄羅斯的行動使用者導到惡意俄文網站。

需要此權限的應用程式：位置相關應用程式，打卡應用程式

全球定位系統圖片來源：George Hodan的「在地圖上的地方」

這代表什麼：允許應用程式透過全球定位系統（GPS）和其他定位來源（如基地台和無線網路）來取得你的確切位置。跟網路定位一樣，GPS定位也可以用來讓應用程式開發人員從基於位置的廣告獲利。

它如何被濫用：惡意應用程式用它來載入基於位置的攻擊或惡意軟體。

需要此權限的應用程式：位置相關應用程式，打卡應用程式，社群媒體應用程式

查看網路狀態

圖片來源：Tim在雪梨拍攝的「尋找GSM網路」，透過創用CC署名2.0 通用條款使用

這代表什麼：允許應用程式檢查是否有手機網路連線（也包括無線網路）。應用程式需要網路連線來下載更新或連接伺服器及網站。

它如何被濫用：惡意應用程式用它來找出可用的網路連線，這樣才能夠執行其他動作，像下載更多惡意軟體或發送簡訊。惡意應用程式可以在你不知情下切換這些連線，吸乾你的電池或增加你的數據收費。

需要此權限的應用程式：位置相關應用程式，打卡應用程式，社群媒體應用程式

查看無線網路連接狀態
圖片來源：Jason Wilson的「無線網路符號」，，透過創用CC署名2.0 通用條款使用

這代表什麼：允許應用程式存取無線網路資訊，例如已設定的網路列表和目前使用中的無線網路。

它如何被濫用：網路犯罪分子利用設備漏洞來竊取無線上網密碼和駭入你所使用的網路。

需要此權限的應用程式：瀏覽器應用程式、通訊程式

檢索執行中的應用程式圖片來源：Jason Howie的「社群媒體應用程式」，透過創用CC署名2.0 通用條款使用

這代表什麼：允許應用程式確認目前或最近執行的工作和每個工作所執行的程序。

它如何被濫用：網路犯罪分子利用這從其他執行中的應用程式竊取資訊。還可以檢查並「殺掉」安全應用程式。

需要此權限的應用程式：工作清理應用程式，電池監測應用程式，安全應用程式

完整的網路存取能力
圖片來源：Blaise Alleyne的「網路開放」，透過創用CC署名2.0 通用條款使用

這代表什麼：允許應用程式連接網路。

它如何被濫用：惡意應用程式使用網路來連到它們的指揮中心或下載更新和更多惡意軟體。

讀取手機狀態和識別資訊需要此權限的應用程式：瀏覽器應用程式、遊戲應用程式、通訊程式、生產力應用程式

這代表什麼：允許應用程式知道你是否正在接聽電話或連接網路。也讓它們存取像是你的電話號碼、國際行動裝置標識（IMEI）號碼和其他識別資訊。應用程式通常用此來識別使用者而無需更多敏感資訊。繼續閱讀

夜深了,藍光伴我難以成眠!!四步驟將科技殭屍轉變成生龍活虎的人類

2014 年 06 月 06 日2014 年 06 月 10 日趨勢科技 TrendMicro

你身旁有這樣無法抗拒嘗試新科技的家人嗎?半夜不睡覺,守著閃爍藍光的手機/平板和其他夜貓子一起按讚、分享、留言和傳訊息。如果這聽起來很像你或你的家人，這裡有簡單四步驟的計劃來幫助你減少科技消耗 – 至少在太陽落山後。

Step1.在你準備擁抱枕頭前的3到4小時,先做完所有的網路活動

英國睡眠報告發現，有22％的英國人睡眠品質「不佳」，另外有5％自認為「非常糟糕」。熄燈前的深夜網頁瀏覽活動可能是個影響主因。根據生活科學報告，在睡前兩小時內逛網路或發送簡訊的人所聲稱的壓力水平較高。
（註：這項研究發現了睡覺前使用科技產品和壓力之間的關聯，但並非絕對的因果關係。不過電腦螢幕所發出的光線的確會干擾入睡 – 請參考步驟二。）

在你準備擁抱你枕頭前的3到4小時先做完所有的網路活動。

利用這段時間來逛完社群網路，完成工作和該在網路上處理的事情。你正式開始降溫的過程，讓你的大腦和身體準備好進入睡眠。

Step2.睡前兩小時：關閉所有科技產品,給自己全無螢幕干擾的兩個小時

電腦和平板電腦螢幕會發出藍光，跟太陽光中的可見光一樣。研究結果已經顯示出中斷睡眠模式和接觸液晶螢幕間的關聯。在睡覺前記得要給自己全無螢幕干擾的兩個小時。

讓自己離開藍光休息一下，這可以讓你的身體認知到夜晚和睡眠即將到來。

Step3.睡前一小時,把充電設備手機電腦請出臥房

將充電設備移到你臥室以外的房間,移除誘惑來源。當你比預期還晚一點睡著時，你就不會輕易地拿到你的平板電腦或手機。而且在你尚未完全入睡的時候，也不會被手機發出的來電、簡訊和社群媒體狀態更新等提示音所干擾。

那麼，現在該做什麼呢？只盯著天花板發呆？

在你最後清醒的一小時，用些非數位的東西來餵養你的大腦。念一本書，寫些筆記，想想短期和長期目標，不要再玩數獨忍者了…

Step4.熄燈讓大腦沉澱,跟電子玩意說晚安

設定鬧鐘（現在你的房間裡沒有手機了，記得嗎？）。關掉電燈。感受一下在黑暗的房間裡有著一張舒適的床。繼續閱讀

如何保護你社群媒體上的隱私?

2014 年 03 月 27 日2014 年 12 月 05 日趨勢科技 TrendMicro

你如何在社群網站上保持資料隱私？根據趨勢科技的調查顯示，只有38％的人知道如何限制自己在網路上所分享的內容。這樣低的數據代表了有許多使用者可能會分享出比自己預期還更多的資訊。

在網路上過度分享可能會損傷到你自己的名譽。比方說，你的家人或老闆可能會看到被大意張貼出來的不雅照片。你的詳細資料也可能被用做身份竊盜，讓網路犯罪份子利用來冒充你。身份竊盜已經如此的猖獗，去年在美國，每三秒鐘就有一位身份詐騙的受害者。

利用網站的隱私設定只是個開始。雖然嚴格的帳戶設定和工具可以幫你保護隱私，但還有其他會讓你的個人資料洩漏出去的方法。認識和解決這些潛在的隱私風險可以幫你保護自己的資料。

社群網路上可能會出現第三方應用程式，像是星座或智力測驗，但並非由網站本身所創造。這些應用程式通常會要求存取你的資料，以便個人化你的使用者體驗。如果你擔心應用程式所要求的資料數量，最好就不要安裝。

社群隱私how-to-protect-your-privacy-on-social-media — 下載電子書

檢查你的應用程式設定以避免分享過多資訊：

Facebook：透過隱私設定內的應用程式選項來控制你動態時報和最新動態上應用程式活動的可見度。同時刪除或管理各應用程式的設定。

Google+：透過應用程式與活動來管理應用程式的可見度或刪除應用程式。

Twitter：透過應用程式選項來移除可以存取你Twitter帳號的第三方應用程式。
繼續閱讀

保護你的銀行帳戶,享受行動銀行的便利性

2014 年 03 月 24 日2014 年 04 月 02 日趨勢科技 TrendMicro

行動銀行在今天已經成為手機用戶最常用的功能之一。到了2017年，在超過十億的行動用戶中，有15％會利用行動設備來使用銀行功能。這原因顯而易見：它的速度更快，更方便。

由於行動銀行會直接影響到你的財務，確保你和你的行動設備都已經準備好，而且安全無虞很重要。這份電子指南包含了可行的建議，讓你在享受行動銀行的便利性時也不用擔心安全問題。

保護你的銀行帳戶

拜訪你的銀行或他們的網站以了解他們的行動銀行服務。了解你的銀行如何透過行動設備來進行交易，並詢問可以保護你行動銀行體驗的方法。

行動銀行的安全性措施之一是兩步驟或雙因子身份認證，需要你銀行所提供的驗證碼加上你的密碼才能使用。另一個例子是簡訊提醒和通知，警告你關於帳戶的可疑活動。

也必須注意你銀行所提供的線上幫助文件，熟悉關於帳戶被入侵之後所該遵循的程序。

參閱我們的網路銀行指南以了解更多資訊。

調整你的習慣

如果你希望使用行動銀行有安全的體驗，那麼你必須要有一些良好的習慣。

使用更長、更隨機的密碼。更長、更複雜的密碼可以讓網路犯罪份子更難去猜中它們。
切勿使用行動設備存取可疑網站，無論看來多誘人。網路犯罪分子會試圖利用吸引人的新聞消息或免費贈品來誘騙使用者連上惡意網站。這作法被稱為社交工程。
不要點入可疑郵件或垃圾郵件內的連結。這些連結可能會導向企圖竊取你個人資料的惡意釣魚網站。
下載並使用官方應用程式，而不要使用瀏覽器。如果你的線上交易涉及金錢，最好使用來自你銀行或商家的官方行動應用程式。

保護你的應用程式

在你的行動設備上下載並安裝應用程式並沒有什麼錯。不幸的是，你可能會誤下載到手機惡意軟體，因為它們常常會在第三方應用程式商店內偽裝成正常或破解版的應用程式。

網路犯罪分子常常會取得正常版本的應用程式，將它們改造成行動惡意軟體 – 就是所謂的木馬化。而這裡最糟糕的事情是，這些惡意應用程式被設計成跟真正的行動銀行應用程式難以區別。繼續閱讀

個人自備裝置 (BYOD)：是趨勢還是威脅？中小企業應知道的五項行動裝置威脅

2014 年 03 月 18 日2014 年 04 月 02 日趨勢科技 TrendMicro

個人自備裝置 ( BYOD) 的出現，讓企業因而敞開大門，各種威脅得以經由員工疏失所造成的網路漏洞進入企業。所謂的 BYOD 就是員工攜帶個人裝置進入公司網路。這是 IT 消費化的潮流之一，在此潮流之下，將有更多新的消費性資訊技術進入企業環境。

每家中小企業都應知道的五項行動裝置威脅

1.即使是最小的裝置也可能成為企業最大的安全漏洞。

BYOD 的潮流銳不可擋。在這樣的情況之下，有哪些 BYOD 及行動化的風險是中小企業所必須知道的？還有，中小企業應如何盡力降低這類風險？

43%的中小企業對行動化抱持開放態度，並且認為支援行動裝置和智慧型手機是一項優先要務。BYOD對中小企業來說已無法逃避。

所謂的 IT 消費化，就是企業員工在公司內部使用消費性科技。而 BYOD則是 IT 消費化的一環，也就是員工攜帶自己的裝置，如：手機、筆記型電腦、平板電腦到工作場所使用，而且通常會連上公司網路。

2.中小企業的 BYOD 時代已經來臨，中小企業必須跟上時代的腳步以維持競爭力。

研究顯示，中小企業對行動化抱持開放的態度，有 43% 的中小企業認為支援行動裝置和智慧型手機是一項優先要務。3全世界都在行動化，中小企業老闆也正利用行動 App 程式來節約時間、提高營收與生產力，並且降低成本。僅有 20%的 Android 裝置安裝了防護軟體。

3.中小企業應預先了解 BYOD 所帶來的安全挑戰。

不論規模大小，所有行動化的企業都應了解自己已經暴露在某些風險當中。全球使用中的 Android 裝置高達 4 億，這龐大的數字既是 Google 的商機，也是歹徒的機會。不僅如此，我們發現僅有 20% 的 Android裝置安裝了防護軟體。

從最大的跨國企業到最小的新創公司，所有擁抱 BYOD 的企業都將面臨風險。正因如此，中小企業必須知道今日 BYOD 的時代將面對最新的威脅。今年第一季顯示，網路犯罪者已將更多重心轉移至行動裝置。

網路犯罪者無時無刻不在尋找各種熱門平台，因為，越是熱門的平台，就會有越多受害者可利用。

4.行動裝置上的重要資料正面臨危險。

根據 Ponemon Institute 的一項研究顯示，企業自身的員工是企業資料的最大威脅。員工的個人裝置一旦遺失或做好防護措施以防範資料竊取程式，企業資料就可能遭到外洩。同一份調查也發現，員工疏失是許多資料外洩事件的根源。而且中小企業因員工疏失或內賊的惡意行為而造成資料外洩的比例也較高。

此外，行動裝置還有很高的失竊風險。事實上，智慧型手機與一般手機占了美國主要城市所有搶案的 30%至 40%，共 27,000 起。中小企業必須了解，行動裝置需要與桌上型電腦至少相同等級的防護。由於消費者傾向使用智慧型手機來快速存取個人資訊，商用智慧型手機一旦遺失，將使得網路犯罪者完全掌握企業的重要資料。

員工可能經由下列方式從其行動裝置洩漏公司重要資料：

‧ 連上不安全的無線網路

‧ 下載和安裝未經核准的 App程式

‧ 造訪可能惡意的網站

‧ 將手機隨意放置而未加留意

上述情況，再加上裝置的意外遺失，將對中小企業資料帶來嚴重風險。

資訊竊盜惡意程式是最常見的 Android 惡意程式類型之一。影響 BYOD 裝置的惡意程式確實存在。

網路犯罪者已擴大了活動範圍。除了桌上型電腦之外，他們同樣也會攻擊行動裝置，因為其普及率和使用者數量正不斷攀升。裝置一旦感染惡意程式，受害的將不只是員工自己，還將波及員工所屬的企業。

行動惡意程式可能對企業造成許多傷害。Android 最常見的惡意程式之一就是資訊竊盜程式，這類程式幾乎可記錄、竊取、公開員工在行動裝置上的所有活動資訊。其竊取的資料包括：來電和去電、簡訊、通訊錄、使用者的 GPS 定位資訊等等。這類惡意程式很可能導致後續的資料外洩事件。

Rooter (解機) 惡意程式一旦進入 Android行動裝置，即可控制裝置並操作其功能，讓網路犯罪者從遠端遙控被感染的裝置。此外，一旦該裝置連上中小企業網路，此惡意程式就能存取其網路。

駭客非常熱愛 Android 作業系統，光是 2012 年第一季就出現 5,000個新的惡意 App 程式。

5. Android 是最常遭到攻擊的行動裝置作業系統。

網路犯罪者一向鎖定最熱門的作業系統以盡可能擄獲最多受害者。Android 高達 50.9%的市場占有率 (一般使用者和企業) 使該作業系統成為網路犯罪者長期最愛的目標之一。11駭客非常熱愛 Android 作業系統，光是 2012 年第一季就出現了 5,000 個新的惡意 App 程式。而且 Android 是今日中小企業最常支援的第二大行動裝置作業系統，讓它更令人垂涎。事實上，趨勢科技已發現 129,000 種專門針對 Android 使用者的惡意 App 程式。繼續閱讀