使用手機時看到追蹤活動的要求,你會點選「允許」或「要求 App 不要追蹤」?
應用程式通常在以下情況下會要求追蹤:
在這些情況下,應用程式通常會向使用者發出通知,詢問是否同意追蹤,這樣使用者就可以選擇是否分享他們的數據。使用者應該仔細閱讀這些通知,了解應用程式追蹤的具體目的。
最近網路上出現了一個蠻夯的APP-新式相片編輯程式 NewProfilePic,但也有新聞網站和網友在社群媒體上懷疑這是不是個詐騙。所以,我們決定親自研究看看。
NewProfilePic 是最近在社群媒體上瘋傳、並在應用程式排行榜上竄紅的一個應用程式,目前已累積數十萬次下載。這個手機相片編輯程式可讓使用者上傳自己的照片,就能收到類似卡通風格的高畫質自畫像。這些自畫像看起來很像手繪製作,但其實是由應用程式的 AI 所產生。應用程式在說明中寫道:
「在這個瞬息萬變的世界,為何您社群媒體上的頭貼總是一成不變?讓我們來點不一樣的,給自己隨時保持新鮮感… 由 AI 幫您產生![…] 敢跟別人不一樣,依據您當下的心情或心理狀態來更換頭貼。在社群媒體上吸引好友目光,讓他們隨時想追蹤您的最新動態!」
繼續閱讀下載免費 APP, Facebook 帳號竟被冒名進行網路釣魚詐騙、散發假貼文…最近趨勢科技發現惡名昭彰的 Facestealer 間諜程式在 Google Play 上再度利用 200 多款冒牌應用程式竊取使用者的 Facebook 登入憑證。
另外也發現了 40 多個冒牌的虛擬加密貨幣挖礦( coinmining )程式,宣稱提供虛擬加密貨幣的賺錢機會,誘騙使用者購買付費服務或點選廣告。除了引誘受害者購買假的雲端挖礦服務,還會試圖利用一些誘餌來騙取使用者的私密金鑰及其他虛擬加密貨幣相關的機敏資料。
最近我們發現 Google Play 上有多款應用程式專門竊取使用者的登入憑證和其他機敏資訊,例如私密金鑰。由於這些應用程式為數眾多且相當熱門 ,有的甚至累積數十萬次下載,或是擁有 4.5 顆星評價。另外還有冒牌挖礦程式,藉著捏造假評價宣稱已領到網站空投的 0.1 乙太幣(約 240 美元),藉以騙取錢包中的 100 美金,並進一步蒐集私密金鑰與助記詞。
以下我們深入研究幾個跟健身、相片編輯、濾鏡還有挖礦程式有關的惡意應用程式:
Facestealer 間諜程式最早是在 2021 年的一篇文章當中所披露,該文章詳細描述它如何在 Google Play 上利用冒牌應用程式竊取使用者的 Facebook 登入憑證。這些被偷的登入憑證將用來登入受害者的 Facebook 帳號以從事各種惡意活動,如:網路釣魚詐騙、散發假貼文、散發廣告。如同另一個名為「Joker」的行動惡意程式一樣,Facestealer 會經常修改程式碼,進而製造出許多變種。這個間諜程式從被發現以來,一直是 Google Play 的頭痛問題。
近期我們在研究行動惡意程式時發現了 200 多個 Facestealer 的冒牌應用程式,並已收錄到趨勢科技行動應用程式信譽評等服務 (MARS) 資料庫當中。
繼續閱讀趨勢科技在免費跨平臺檔案分享程式 SHAREit (「茄子快傳」)應用程式發現了漏洞。這些漏洞可以被惡意用來取得使用者的敏感資料,執行任意程式碼並可能導致遠端程式碼執行。此應用程式有超過10億次的下載量。
在名為SHAREit的應用程式中發現的這些漏洞可以被惡意用來取得使用者的敏感資料,並讓惡意程式碼或應用程式能夠用SHAREit的權限來執行任意程式碼。它們還可能導致遠端程式碼執行(RCE)。在過去,可用來從使用者裝置下載和竊取檔案的漏洞往往與應用程式相關聯。當應用程式允許傳輸和下載如Android Package(APK)等各式類型的檔案,非預期的程式缺陷就可能導致這些功能出現漏洞。
SHAREit在Google Play上有超過10億次的下載量,並被評為2019年下載次數最多的應用程式之一。這些漏洞已經通報給了Google。
由於網路犯罪者會使用各式各樣的手段欺騙用戶,誘使用戶安裝非法的應用程式。本文為您介紹如何分辨真假應用程式的方法,及於智慧型手機內安裝應用程式前後應注意事項。
 非法應用程式是如何入侵的? |
| 不讓非法應用程式靠近3要素 |
| 安裝前至少應確認 3 件事 |
| 安裝完應用程式後的注意事項 |