行動隱私的4W和1H

2013 年 07 月 03 日2014 年 02 月 10 日趨勢科技 TrendMicro

這篇下載APP軟體　信用卡遭盜刷16筆報導指出台北市1名30歲陳姓男子，凌晨接獲信用卡刷卡通知，在10分鐘內遭盜刷16筆，共6869元的消費金額，陳先生嚇的立即報案。
以下這篇文章教你如何保護行動隱私

你已經玩了手上的新玩意好幾天了，發送電子郵件、下載應用程式、瀏覽Facebook等一些諸如此類的事情。突然間，那些討厭的彈跳視窗就佔領了你的畫面。

這是個和你現在所做事情完全不相干的產品網頁。但你記得之前看到這頁面。可能是因為你曾經搜尋過它，但為什麼突然間它會自動幫你搜尋？

這只是個隱私被侵犯的例子，即便你只是在用行動設備。你會做些什麼來保護自己的隱私，對抗這類的行動威脅？

Who？

你和你的權力之於行動隱私

聯合國認為隱私是每個人的固有權利。^註1每當有人試圖存取你的個人資訊，就會侵犯到這權利，不管是任何形式或平台，只要未經法律程序或你的同意。比方說，如果有朋友借用你的智慧型手機來偷看你的Facebook帳號，他或她就侵犯了你的隱私。

網路犯罪份子對於侵犯行動隱私已經是惡名在外了。他們開發類似資料竊取程式的惡意應用程式，將目標放在你的個人和財務資訊。免費而高風險的應用程式也造成了些隱私問題，因為它們所收集資訊的數量和類型。比方說，一些德國熱門的Android應用程式可能會洩漏你的位置，設備認證資訊和通訊錄。^註2

What？
要注意的重點區域

你設備的連線功能

你設備的連線功能讓網路犯罪分子能夠從你身上獲取資訊。這些功能就像是個鎖上的門，他們要想辦法打開進去。像藍牙和無線網路這兩個例子，它們的目的都是為了讓通訊更加方便，但它們也可能被用在惡意用途上。網路犯罪分子已經在Mac電腦上利用INQTANA蠕蟲做到這一點，它可以發送惡意檔案到接受的藍牙設備上。這個蠕蟲程式會讓電腦面臨更多的惡意後果，像是惡意軟體和資訊竊取。

越來越多製造商也正在將近距離無線通訊（NFC）標準加到設備上。這項技術可以讓你分享內容、進行付費動作或是輕觸一個掃描器來執行其他外部交易。就像聽起來那樣的方便，讓它也可能成為惡意行為的入口。^註3

你的設備設定

對於預設系統設定的強烈建議就是，你可以進一步最佳化它以增強保護。這代表你可以改變行動設備的安全設定，確保不會有人可以輕易地去存取它。

你的行動行為

有了行動設備會讓你更頻繁地逛網路，但當它牽涉到安全性時，它有改變你的行為嗎？請記住，你面對行動威脅時會變得更加脆弱，當你沉浸在手機活動，像是社群網路、購物和銀行時。過分分享、不檢查應用程式權限和點擊惡意連結都是在對網路犯罪份子的邀請。

提到使用應用程式，你必須要小心行動廣告軟體。雖然大多數廣告網路是完全合法的，但有一些已知會收集個人資訊和將廣告以通知的方式派送，往往都沒有經過使用者的同意。^註4

至少有7000個免費應用程式使用了侵略性廣告模組，直到2012年10月為止，被下載了超過100萬次。

How？

「隱私陷入危險」的情境

免費應用程式

誰不喜歡免費的東西？有數以千計的免費應用程式來自合法和第三方應用程式供應商讓你選擇。但是，免費下載應用程式往往有個要考量的地方：免費服務換取你的個人資訊。^註5

令人驚訝的是，大多數的消費者（73％）願意用個人資訊交換一些回報（比方說免費的行動服務）。請記住，即使你只給出最小程度的資訊，像地址或生日，網路犯罪份子也可以拿來利用。

設備遺失或被竊

在2012年9月所做的調查顯示，將近三分之一的手機使用者遺失或被偷了手機^註6。即使你想要保護你的應用程式和設備設定，當你遺失了手機，上面的資料還是會讓你陷入棘手的局面。更何況被竊手機和裡面所包含的資訊現有可以在市場上獲取豐厚的利潤。^註7

一再變更的最終使用者許可協議（EULA）

你之前也遇過，那些網路服務會要求你同意他們可以隨時變更他們的最終使用者許可協議而不另行通知。家庭電影供應商 – Blockbuster.com曾在法庭上被拒絕將該行加入到他們的隱私政策內。^註8

但這似乎沒有阻止熱門的服務將那些值得注意而可能會不利於使用者隱私的條款放入最終使用者許可協議內^註9。如果沒有詳讀最終使用者許可協議，你可能已經允許開發商去販賣自己的照片、追蹤你的網路活動或交出個人資料給有關當局。

自帶設備（BYOD）

有四分之三的企業允許員工使用自己的個人設備（像筆記型電腦、小筆電、智慧型手機和平板電腦）去處理與工作相關的事情^註10。隨著自帶設備的趨勢繼續發展，網路犯罪份子也有了動機去越過你的防禦，可以同時存取到你的個人和工作資訊。

而且不只是網路犯罪分子。你們公司的IT部門也可能透過一組不會區分個人和工作資料的協定，讓他們可以存取你的資訊。

你的設備也可能被用在法庭當做證據。你可能會被要求提交設備以進行調查，包含裡面所有的資料，即使只有工作相關資訊和案件有關。^註11

Why？

一切都是為了錢

網路犯罪份子只有一個目的：錢。你的行動設備對於網路犯罪份子來說，只是一個可以攻擊的點。他們可以竊取你智慧型手機和平板電腦上儲存的資料，然後想辦法利用它們來獲利。

而就跟你的資料一樣，你的聲譽也是危在旦夕，如果網路犯罪分子找到什麼把柄可以對付你或你所代表的組織。有些惡意軟體，像Android上的簡訊間諜工具，可以竊取私人簡訊並上傳到遠端伺服器上。

當侵犯隱私的事件發生時，你會損失什麼就取決於你是如何使用你的行動設備。

Ｗhat Now？

加強你的隱私

想到我們所討論的這些問題，侵犯行動隱私對網路犯罪份子來說可能是非常容易。然而，你還是可以做些什麼來防止成為類似情境的受害者。

遵照這個檢查列表：

變更隱私和瀏覽器設定來控制你的行動設備會分享多少資訊。你可以在這裡調整位置和網路分享設定。
啟動螢幕鎖定，並且每三個月變更一次密碼以盡量減少被駭客攻擊的機會。
從你的行動設備裡刪除會讓你覺得不妥的照片、影片和檔案。繼續閱讀

五個保持線上遊戲安全的秘訣

2013 年 03 月 08 日2014 年 04 月 25 日 Trend Labs 趨勢科技全球技術支援與研發中心

「電腦遊戲」曾經只是當你在工作時，自己偷偷玩的紙牌接龍。但是到了網路新時代，線上遊戲已經演變成了龐大的產業，充斥著各種多人線上遊戲，聚集了來自各行各業的玩家們，在這精心打造的世界裡熱血奮鬥著。這很酷，但也存在著一些風險。

這裡有五個可以幫助你面對在遊戲中可能會遇到的一些較明顯威脅的秘訣：

一、保持匿名。不要給出你的真實姓名或實際位置。如果你被要求建立個人檔案，確認你沒有提供任何可以用來在現實生活中找到你的資料，像是你的電子郵件地址、實際地址、你的名字或年齡。

二、語音聊天時要小心。有些遊戲可以讓你透過耳機麥克風和其他玩家交談。如果你決定要這樣做，可以考慮使用聲音變造功能來偽裝你的性別和年齡。

三、知道如何對付網路惡霸。確保你知道如何通知管理員，如果遇到有玩家失控的狀況時。你還可以封鎖騷擾你的玩家，最好先知道該如何做，這樣當你遇到一個令你不快的玩家時，就可以盡快地封鎖他了。繼續閱讀

WhatsApp違反隱私法

2013 年 03 月 01 日2013 年 02 月 20 日 Trend Labs 趨勢科技全球技術支援與研發中心

作者：趨勢科技資深分析師Rik Ferguson

WhatsApp Inc.，一家非常成功的跨（行動）平台訊息應用程式。被荷蘭資料保護機構（Dutch Data Protection Authority，CBP）和加拿大隱私委員會辦公室（The Office of the Privacy Commissioner of Canada，OPC）展開聯合調查。他們在一月廿八日所發表的聯合聲明裡指出WhatsApp有下列違規行為：

「違反國際公認的隱私原則，主要在對個人資料的保留、維護與揭露方面」。

這些發現進一步地強調了David Sancho在去年研究行動應用程式安全時所作出的結論。以及最近所發表關於資料隱私的Ponemon研究結論。

這項調查展開了有數個月，主要有三個發現，其中兩個問題已經被WhatsApp公司相當程度地解決了，但另外一個仍然尚未解決。

WhatsApp公司已經採取行動去解決的兩個問題，是關於他們網路通訊安全的部分。調查機構發現，使用WhatsApp發送的所有訊息都未經過加密，這意味著要攔截私人通訊是輕而易舉的事情。這些通訊往往不只包含文字訊息，還會有圖片、聲音、視訊和位置資訊。在二〇一二年九月，為了回應這些調查，WhatsApp開始對其通訊加密。

另外，調查還發現WhatsApp用來產生「訊息交換用的密碼」的方式十分脆弱。基本上，訊息發送者的身份是由MAC地址或發送裝置IMEI號碼來加以確認。調查得出（正確地）結論，因為這些資訊相對上都很容易外洩或被竊取，要用來作為身份驗證機制並不可靠的，也非常容易就能夠偽造WhatsApp通訊的發送者。由於這個發現，WhatsApp公司已經改進驗證訊息發送者身份的技術，現在是使用隨機生成的金鑰進行簽章。

為了要能夠享受到這些重要的安全增強功能，WhatsApp用戶，不管是不是活躍的使用者，都強烈建議要確保自己所運行的是最新的版本。繼續閱讀

手機用戶,保護個資並不只是鎖定手機那麼簡單

2013 年 02 月 25 日2013 年 02 月 20 日 Trend Labs 趨勢科技全球技術支援與研發中心

作者：趨勢科技 Abigail Pichel

行動惡意軟體不僅僅是在數量上持續成長，複雜度也日益增加。趨勢科技最近發現有殭屍網路惡意軟體感染了超過一百萬台的智慧型手機。雖然Android使用者是目前主要的目標，但Apple使用者很快地也可能會成為受害者，因為已經有山寨版應用程式找到方法出現在iOS上的報告了。看看這些最近的發展，我們預測在二〇一三年底將會偵測到一百萬個惡意軟體並不過分。

不過使用者只需要注意惡意軟體嗎？不，他們也該關心他們的個人資料。由於智慧型手機上的活動牽涉了大量的資訊 – 電子郵件、遊戲和社群網路。保護行動設備上的資料就成了優先事項。

資料竊取惡意軟體會威脅到隱私，合法的應用程式也可能會將使用者的資料置於危險之中。不過這些並不是唯一讓資料被外流的方式。一般的使用者行為，像是連到公共無線網路和在社群網站上玩遊戲都可能讓其他人查看到線上活動。瀏覽歷史紀錄也可以被收集用來向使用者發送針對性廣告。即便是網路個人檔案，如果使用者貼出太多細節，也可能會成為風險。

因為對隱私的顧慮隨人而異，這也讓隱私問題變得更加複雜。有些人覺得「太多」的程度，另一個人則可能覺得還好。現在取決於使用者自己去評估所分享的程度是否在自己能夠接受的範圍。在我們的資料圖表 – 「管理行動隱私」裡，我們列出了各種跟行動設備相關的隱私威脅和風險。我們也提出保護行動設備最好的方式。

管理行動隱私:保護你的資料和設備並不只是鎖定手機那麼簡單，防護所有可能外洩的源頭: