使用密碼來鎖住智慧型手機等行動設備。這看起來似乎很直覺也很簡單。但根據業內人士的估計,有介於30%和60%的人不用密碼鎖住他們的智慧型手機。因為對大部分人來說,「行動」代表的是方便而非謹慎,像是密碼雖然只是簡單的小事,不過就是嫌麻煩。一個簡單的事實是,人們遺失手機,不管是掉了還是被偷,最終結果都一樣:手機握在別人手上。
如果不用密碼鎖定,那你很可能會被盜打,而費用都算在你身上(太糟糕了,如果這小偷有個朋友在歐洲)。也會為個人資料的外洩打開大門。
一個最近流傳的故事,有個女孩在伊維薩島裸泳時iPhone被偷了,她就將小偷照片貼到部落格上以作為報復。很顯然地,小偷用她的手機拍照,而照片被上傳到她還可以存取的線上服務。這聽起來很好笑,對吧?其實並不! 繼續閱讀
稍早資訊安全研究人員披露了一個新的 Android 手機漏洞,該漏洞可能讓已安裝的 App 程式在使用者不知情的狀況下遭到竄改。幾乎所有的 Android 裝置都受到影響,因為此漏洞從 Android 1.6 (甜甜圈) 版本即已存在,目前僅有 Samsung Galaxy S4 修正了這項問題。
此漏洞 (有人稱之為「Master Key」金鑰漏洞) 吸引了大批媒體關注,但並非所有的媒體報導都正確。趨勢科技已經更新了「趨勢科技行動安全防護for Android中文版」來保護我們的使用者,但我們還是要特別在此澄清一下這到底是怎麼回事,這是什麼樣的威脅,以及使用者該做些什麼。
什麼是「Master Key」金鑰漏洞?
此漏洞與 Android App 程式的簽署方式有關。所有的 Android App 程式都內含一個開發廠商提供的數位簽章,用來證明該程式「的確」 來自於該廠商,並且在傳送的過程當中從未被竄改。當 App 有新的版本時,除非新的版本也有來自於同一開發廠商的數位簽章,否則就無法更新。
此漏洞正是和這最後一個步驟有關。研究人員發現,歹徒即使「沒有」原始開發廠商的簽署金鑰,也能更新系統已安裝的 App 程式。簡而言之,任何已安裝的程式都可能被更新成惡意版本。
請注意,就技術而言,並沒有所謂的金鑰遭到外洩。當然,任何 App 程式都可能被竄改並用於惡意用途,但這當中並不是因為「金鑰」外洩。
有何風險?
此漏洞可讓歹徒將 Android 裝置上原本正常的 App 程式換成惡意程式。一些擁有許多裝置權限的 App 程式,如手機製造商或電信業者提供的 App 程式,尤其容易成為目標。
這類程式一旦進入裝置,它們的行為就像任何惡意 App 程式一樣,只不過使用者會以為它們是完全正常的程式。例如,一個遭到竄改/木馬化的網路銀行 App 程式,還是能夠像往常一樣運作,但使用者輸入的帳號密碼可能就會被歹徒所竊取。
使用者如何保護自己?
趨勢科技已經更新了「行動裝置應用程式信譽評等」資料庫來偵測專門攻擊這項漏洞的 App 程式,但目前尚未發現任何這類程式。儘管如此,我們已針對「趨勢科技行動安全防護」釋出了最新的病毒碼,確保我們能夠偵測專門攻擊此漏洞的 App 程式。(使用者只要更新到 1.513.00 或更新版本的病毒碼就能安全無虞,所有攻擊此漏洞的 App 程式都將偵測為 Android_ExploitSign.HRX。) 如此已足夠確保我們的使用者不受此威脅影響。
趨勢科技強烈建議使用者關閉安裝非 Google Play 來源應用程式的功能。這項設定在 Android 系統「設定」當中的「安全性」設定內。 繼續閱讀
這篇下載APP軟體 信用卡遭盜刷16筆報導指出台北市1名30歲陳姓男子,凌晨接獲信用卡刷卡通知,在10分鐘內遭盜刷16筆,共6869元的消費金額,陳先生嚇的立即報案。
以下這篇文章教你如何保護行動隱私
你已經玩了手上的新玩意好幾天了,發送電子郵件、下載應用程式、瀏覽Facebook等一些諸如此類的事情。突然間,那些討厭的彈跳視窗就佔領了你的畫面。
這是個和你現在所做事情完全不相干的產品網頁。但你記得之前看到這頁面。可能是因為你曾經搜尋過它,但為什麼突然間它會自動幫你搜尋?
這只是個隱私被侵犯的例子,即便你只是在用行動設備。你會做些什麼來保護自己的隱私,對抗這類的行動威脅?
聯合國認為隱私是每個人的固有權利。註1每當有人試圖存取你的個人資訊,就會侵犯到這權利,不管是任何形式或平台,只要未經法律程序或你的同意。比方說,如果有朋友借用你的智慧型手機來偷看你的Facebook帳號,他或她就侵犯了你的隱私。
網路犯罪份子對於侵犯行動隱私已經是惡名在外了。他們開發類似資料竊取程式的惡意應用程式,將目標放在你的個人和財務資訊。免費而高風險的應用程式也造成了些隱私問題,因為它們所收集資訊的數量和類型。比方說,一些德國熱門的Android應用程式可能會洩漏你的位置,設備認證資訊和通訊錄。註2
你設備的連線功能
你設備的連線功能讓網路犯罪分子能夠從你身上獲取資訊。這些功能就像是個鎖上的門,他們要想辦法打開進去。像藍牙和無線網路這兩個例子,它們的目的都是為了讓通訊更加方便,但它們也可能被用在惡意用途上。網路犯罪分子已經在Mac電腦上利用INQTANA蠕蟲做到這一點,它可以發送惡意檔案到接受的藍牙設備上。這個蠕蟲程式會讓電腦面臨更多的惡意後果,像是惡意軟體和資訊竊取。
越來越多製造商也正在將近距離無線通訊(NFC)標準加到設備上。這項技術可以讓你分享內容、進行付費動作或是輕觸一個掃描器來執行其他外部交易。就像聽起來那樣的方便,讓它也可能成為惡意行為的入口。註3
你的設備設定
對於預設系統設定的強烈建議就是,你可以進一步最佳化它以增強保護。這代表你可以改變行動設備的安全設定,確保不會有人可以輕易地去存取它。
你的行動行為
有了行動設備會讓你更頻繁地逛網路,但當它牽涉到安全性時,它有改變你的行為嗎?請記住,你面對行動威脅時會變得更加脆弱,當你沉浸在手機活動,像是社群網路、購物和銀行時。過分分享、不檢查應用程式權限和點擊惡意連結都是在對網路犯罪份子的邀請。
提到使用應用程式,你必須要小心行動廣告軟體。雖然大多數廣告網路是完全合法的,但有一些已知會收集個人資訊和將廣告以通知的方式派送,往往都沒有經過使用者的同意。註4
至少有7000個免費應用程式使用了侵略性廣告模組,直到2012年10月為止,被下載了超過100萬次。
免費應用程式
誰不喜歡免費的東西?有數以千計的免費應用程式來自合法和第三方應用程式供應商讓你選擇。但是,免費下載應用程式往往有個要考量的地方:免費服務換取你的個人資訊。註5
令人驚訝的是,大多數的消費者(73%)願意用個人資訊交換一些回報(比方說免費的行動服務)。請記住,即使你只給出最小程度的資訊,像地址或生日,網路犯罪份子也可以拿來利用。
設備遺失或被竊
在2012年9月所做的調查顯示,將近三分之一的手機使用者遺失或被偷了手機註6。即使你想要保護你的應用程式和設備設定,當你遺失了手機,上面的資料還是會讓你陷入棘手的局面。更何況被竊手機和裡面所包含的資訊現有可以在市場上獲取豐厚的利潤。註7
一再變更的最終使用者許可協議(EULA)
你之前也遇過,那些網路服務會要求你同意他們可以隨時變更他們的最終使用者許可協議而不另行通知。家庭電影供應商 – Blockbuster.com曾在法庭上被拒絕將該行加入到他們的隱私政策內。註8
但這似乎沒有阻止熱門的服務將那些值得注意而可能會不利於使用者隱私的條款放入最終使用者許可協議內註9。如果沒有詳讀最終使用者許可協議,你可能已經允許開發商去販賣自己的照片、追蹤你的網路活動或交出個人資料給有關當局。
自帶設備(BYOD)
有四分之三的企業允許員工使用自己的個人設備(像筆記型電腦、小筆電、智慧型手機和平板電腦)去處理與工作相關的事情註10。隨著自帶設備的趨勢繼續發展,網路犯罪份子也有了動機去越過你的防禦,可以同時存取到你的個人和工作資訊。
而且不只是網路犯罪分子。你們公司的IT部門也可能透過一組不會區分個人和工作資料的協定,讓他們可以存取你的資訊。
你的設備也可能被用在法庭當做證據。你可能會被要求提交設備以進行調查,包含裡面所有的資料,即使只有工作相關資訊和案件有關。註11
網路犯罪份子只有一個目的:錢。你的行動設備對於網路犯罪份子來說,只是一個可以攻擊的點。他們可以竊取你智慧型手機和平板電腦上儲存的資料,然後想辦法利用它們來獲利。
而就跟你的資料一樣,你的聲譽也是危在旦夕,如果網路犯罪分子找到什麼把柄可以對付你或你所代表的組織。有些惡意軟體,像Android上的簡訊間諜工具,可以竊取私人簡訊並上傳到遠端伺服器上。
當侵犯隱私的事件發生時,你會損失什麼就取決於你是如何使用你的行動設備。
想到我們所討論的這些問題,侵犯行動隱私對網路犯罪份子來說可能是非常容易。然而,你還是可以做些什麼來防止成為類似情境的受害者。
遵照這個檢查列表:
手機可以用來做任何事情,而且效能就跟一般電腦一樣強大~病毒也是 如此
使用者很容易就會認為行動設備是種可以隨拿隨用的簡易設備,並不會造成安全風險。—沒有什麼比這更錯的了。今日的行動設備就跟一般電腦一樣,所有該有的功能都有。
在上個月,喬治亞理工學院研究發現,因為使用者介面的關係,行動瀏覽器所提供的資訊往往並不足以讓使用者判斷網站是否有潛在的危險。
其中最有問題的是在顯示SSL資訊方面。和一般電腦相比,行動瀏覽器在顯示網站是否在使用SSL時非常受限。雖然會有基本鎖頭符號來表示是否正在使用SSL,但其他進階資訊則可能無法立即顯示。比方說,桌面瀏覽器會強調憑證單位好讓使用者進一步的驗證,但這在行動瀏覽器上並非總是立即出現。
行動用戶很可能會比一般電腦使用者更容易遭網路釣魚(Phishing)攻擊
原因很簡單:使用者界面限制。行動設備上的空間和一般電腦相較起來是有限得多。而且行動使用者介面也往往會設計得特別簡潔。這會限制使用者可以在瀏覽器得到用來判斷網站是真是假的資訊數量 。
這或許也可以解釋為什麼有研究顯示行動用戶很可能會比一般電腦使用者更容易成為網路釣魚(Phishing)攻擊的犧牲者。然而,並不只是技術上的原因,使用者的態度可能才是主因。
根據這篇報導指出在一月,Trusteer分析了多個曾經代管網路釣魚(Phishing)網站日誌檔(存取記錄)。記錄顯示有多少使用者連上這些惡意網站,他們是什麼時候連上的,他們是否輸入自己的帳戶登錄資料,以及用來連上網站的設備。
以下是Trusteer的發現:
一、網路釣魚郵件送出後,行動用戶通常是第一個連上的。
「這是有道理的,因為行動用戶總是保持在連線狀態,也最有可能在郵件送達時於第一時間閱讀。桌上電腦使用者只有在使用電腦時才會看信。」Trusteer的執行長Mickey Boodaei如此說。
「此外,多數詐騙電子郵件都要求立即採取行動。比方說,他們通常會聲稱在使用者帳號偵測到可疑活動,並且需要立刻採取行動。多數落入陷阱的受害者會很快地去連上釣魚網站。」
這很重要,因為網路服務供應商和主機代管廠商會監視他們網路上的釣魚活動,並快速採取行動以封鎖網路釣魚網站。
網路安全專家警告說:網路釣魚郵件攻擊裡最陰險的一種就是,假警告郵件可能會說該公司要通知你關於最近所公佈的一起安全攻擊事件 – 這恰恰也是他們所犯下的「完美掩護。」
二、行動用戶輸入登錄資料的機率比桌面電腦使用者高出三倍以上。
好消息是,大多數人(不管是不是行動用戶)連上釣魚網站時都不會輸入任何登錄資料。但是,對於那些有輸入的族群來說,行動用戶顯然更容易落入網路釣魚(Phishing)的陷阱。
三、iPhone使用者連上釣魚網站的數量是黑莓機使用者的八倍以上。
根據ComScore的最新數據顯示,在美國市場,黑莓機仍然有比iPhone更多的機子正在使用中。根據Boodaei,「在黑莓機和iPhone上都一樣很難注意到網路釣魚(Phishing)。」
那麼是什麼造成這差距呢?Boodaei推測,許多黑莓機使用者是企業用戶,是由雇主所配發黑莓機,所以至少都有經過一些安全訓練。相反地,絕大部分的iPhone都屬於消費者的行動設備。 繼續閱讀
說到手機應用程式使用者體驗的好壞,跟所需要輸入的個人資料數量有直接的關係。而現在,我們處在一個「後隱私時代」,人們需要知道他們將個人資料輸入手機應用程式的好處與壞處。
開發人員不斷努力地改善手機應用程式,使得這些應用程式已經佔據了我們生活很大的一部分。讓事情變得更加簡單方便,帶來更多樂趣:應用程式可以幫我們組織我們的工作,讓我們一眼就可以了解所有的最新資訊,也讓我們可以從切水果或殺綠色小豬中得到許多樂趣。
趨勢科技研究人員Robert McArdle還解釋,手機應用程式提供了使用者更好的使用者經驗。他指出:「另外一個讓手機應用程式如此流行的重要原因是易用性。在手機上瀏覽網頁和在筆記型電腦上的感覺是不一樣的。大多數情況下,手機應用程式會為特定網站來特製瀏覽介面。」
輸入手機應用程式的使用者資料數量已經變成眾所皆知的隱私問題,這也是最近因為關於手機應用程式Carrier IQ的真正問題而被熱烈討論的話題。正如我們之前提過的,Carrier IQ最大的問題是沒有取得同意。對於手機應用程式來說,這是非常重要的,當使用者安裝應用程式之前,必須先確認到底這應用程式會取得哪些資訊。所以對於手機應用程式來說,到底要不要志願提供資料去換取服務的選擇權應該還是在使用者手上。
為了幫助使用者做決定,趨勢科技列出三件事實是使用者在安裝手機應用程式和提供個人資料前可以先好好想一想的:
1.如果給了手機應用程式越多資訊,出事的後果也會越嚴重
手機應用程式已經客製化了,這些程式的設計就是依據使用者輸入的資訊來運作。有些跟所在地有關的應用程式,像是Shopkick和Foursquare就是很好的例子。這樣的手機應用程式已經成為了2011年的科技發展趨勢,並預計會在2012年繼續延續這熱潮。
像這樣的應用程式,唯一合邏輯的是在使用者登入時來要求資訊。而且當然所要求的資訊也是有限度的,僅限於讓應用程式可以正常運作所必要的部份。Android的「權限」設定也是相同的概念,也是使用者需要好好運用的地方。
也有些情形是,這些資訊並不是應用程式運作所必須的東西,但卻能提供吸引使用者的功能。比方說有些手機應用程式會要求使用者連結他們的社群網路帳號,可以將應用程式的動態資訊分享給他們的朋友。在這時候,使用者要記住,如果他們給了應用程式越多資訊,出事的後果也會越嚴重。這也帶入了我們的第二件事實:
2.手機應用程式的開發者可能會將部分服務外包,因此可能會有其他第三方公司能存取這些資訊
使用者資訊在今天的威脅環境裡是一種商品,這也讓你在任何地方分享訊息都會有風險,不僅僅是在手機應用程式上。這些風險大多來自於未經授權去存取使用者的個人資訊。因為如此,對使用者來說,重要的是弄清楚從這應用程式所得到的服務是否值得這風險。
另外一件使用者必須了解的是,這些應用程式的開發公司可能會將部分服務外包,因此可能會有其他第三方公司能存取這些資訊。這是從Epsilon事件中所能體認的事實,還有從最近的Carrier IQ事件。
3.開發者的信譽很重要 ,如果你對於提供敏感資料有任何疑慮的話,就不要做
對使用者來說,誰能處理他們的個人資料將是主要關心的問題。舉例來說,Android是一個非常開放的平台,允許許多開發人員將他們的作品上傳到Android Market上,因此使用者需要小心的去選擇誰值得信賴去交付自己的資訊。
我們認為使用者需要體認到最重要的事情是,他們是為自己的個人資料跟設備負起最終責任的人。手機應用程式的確帶來很大的方便,但同時也存在一定的風險。有些風險是使用者沒有充分了解,或是選擇去忽略的。Android的「權限」模式就是要讓使用者知道應用程式會存取的資訊,但這些常常都會被忽視。
在今後,Robert提醒使用者在輸入資料給任何應用程式前都要先認真考慮。「重點是,在提供任何資料給應用程式之前先想一想。遊戲軟體是否真的需要你的社群網路登錄資料,只為了讓它去聯絡你的朋友?你會因為開發者要求,就一樣的將帳號資料用電子郵件傳給他們嗎?如果你對於提供敏感資料有任何疑慮的話,就不要做」。
使用者不需要放棄由應用程式提供的服務,只因為他們需要提供使用者的個人資料。但他們應該要了解有關的風險,並準備好保護他們的資料。想知道更多相關的資訊,請參考我們的行動威脅資訊站。
相關資料:
@原文出處:3 Truths about Mobile Applications 作者:JM Hipolito
手機防毒不可不知 (蘋果動新聞 有影片)
TMMS 3.75 Stars in PC World AU
@延伸閱讀
2011年回顧:手機病毒
深入探討中國的Android第三方軟體商店
中國第三方應用商店提供下載的手機間諜軟體
專門設計給手機瀏覽的惡意網站:偽裝成 Opera Mini 瀏覽器的行動裝置惡意程式
日本色情業者利用行動條碼(QR Code)誘騙付費Android智慧型手機的惡意程式,半年內增加14.1倍
Android木馬應用程式 :木馬幫你手機申購加值服務
保護你的Android智慧型手機5步驟
Android app 惡意程式:愛情測試、電子書閱讀器、GPS 定位追蹤等應用程式夾帶病毒
手機成竊聽器!!冒充Google+ 圖示,駭你全都露
木馬化的Android 金幣海盜(Coin Priates)遊戲 監控回傳特定關鍵字簡訊
