行動惡意軟體不僅僅是在數量上持續成長,複雜度也日益增加。趨勢科技最近發現有殭屍網路惡意軟體感染了超過一百萬台的智慧型手機。雖然Android使用者是目前主要的目標,但Apple使用者很快地也可能會成為受害者,因為已經有山寨版應用程式找到方法出現在iOS上的報告了。看看這些最近的發展,我們預測在二〇一三年底將會偵測到一百萬個惡意軟體並不過分。
不過使用者只需要注意惡意軟體嗎?不,他們也該關心他們的個人資料。由於智慧型手機上的活動牽涉了大量的資訊 – 電子郵件、遊戲和社群網路。保護行動設備上的資料就成了優先事項。
資料竊取惡意軟體會威脅到隱私,合法的應用程式也可能會將使用者的資料置於危險之中。不過這些並不是唯一讓資料被外流的方式。一般的使用者行為,像是連到公共無線網路和在社群網站上玩遊戲都可能讓其他人查看到線上活動。瀏覽歷史紀錄也可以被收集用來向使用者發送針對性廣告。即便是網路個人檔案,如果使用者貼出太多細節,也可能會成為風險。
因為對隱私的顧慮隨人而異,這也讓隱私問題變得更加複雜。有些人覺得「太多」的程度,另一個人則可能覺得還好。現在取決於使用者自己去評估所分享的程度是否在自己能夠接受的範圍。在我們的資料圖表 – 「管理行動隱私」裡,我們列出了各種跟行動設備相關的隱私威脅和風險。我們也提出保護行動設備最好的方式。
管理行動隱私:保護你的資料和設備並不只是鎖定手機那麼簡單,防護所有可能外洩的源頭:
順帶一提,我想起當我跟鄰居提起我在資訊安全界工作時,他的下個問題就是:「這些詐騙份子為什麼想要我的資料?」越多人問我這個問題,也就越加明顯地,使用者資料是非常有價值的。
當你知道,只要花五美元就可以在地下論壇或網站購買你所有的個人資料,會感到很驚訝嗎?有些人可能還會驚訝地發現,被販賣的資訊還遠遠不止於你的姓名和地址。
在地下論壇被提到的「Fullz」所包含的不只是信用卡號碼、姓名和出生日期。「Fullz」通常透過幾種方式傳遞。首先,可能是文字檔或CSV檔案,一個包含所有資料,用逗號分隔的檔案。所有被蒐集來的個人細節都會包含在該檔案中,方便閱覽。此外,「Fullz」也可能透過可攜式資料庫格式來傳遞,像是MDF檔案,方便輸入本地端資料庫。你還可以找到註冊帳號時的個人問題,還有駕照資訊、社會安全號碼以及其他資料。
這些詐騙份子很邪惡,卻不代表沒有生意頭腦。如下圖,一個賣方提供折扣給大量購買的訂單。
這些詐騙份子還提供轉錄(Dumps)資料出售,這是來自你信用卡磁條的原始數據。除了轉錄(Dumps)資料,他們也賣塑片(Plastics),用來寫入轉錄(Dumps)資料的空白卡。
最後,為了讓詐騙活動更加容易,攻擊者也販賣銀行帳戶登錄資訊和高階電子產品。被賣的銀行帳戶可以直接用來存取錢,不再需要買轉錄(Dumps)資料和塑片(Plastics)了,只需要使用你的銀行登錄資訊,並且把錢轉走。
高階電子產品也可以用合理的價格在黑市上販賣。這些詐騙份子利用偷來的信用卡資料來以零售價購買設備,並且在網路上折扣價出售以換取現金。
詐騙份子可以用我的資料做些什麼?
雖然很多人可能會說,「如果犯罪份子拿了兩萬份Fullz,不會正好用到我那份。」這並不是真的。雖然偷你資料的網路犯罪份子可能不會用到所有的兩萬份轉錄(Dumps)資料,他們可能會用低價去拋售部分未使用到的資料。 繼續閱讀
對於自己的行動資料防護和隱私敏感的德國人,在一份關於德國Android使用者所愛用的前廿五名免費應用程式的研究報告中,只有Facebook和Adobe Flash Player 11要求的行動數據較少,消耗的資源也較少(像是電池續航力和記憶體)。
除了遊戲應用程式外,值得注意的是類似Skype和Google+等應用程式會消耗最多的電池續航力,即使只是將它們開啟而閒置的。
你知道你的手機軟體洩漏哪些資料嗎?
一份關於德國Android使用者所愛用的前廿五名免費應用程式的研究報告。我研究後發現,這些應用程式裡有60%可能會讓使用者的資料陷入危險中。
我的研究集中在德國的熱門應用程式,因為我知道德國人對於自己的行動資料防護和隱私有多麼敏感。特別是德國消費者組織聯盟,會監控在國內可能的隱私權問題。該聯盟已經對多家可能違反德國隱私法和消費者權益的公司採取行動。
我很好奇哪些在文中所引用的熱門應用程式會要求哪些資料,也期待可以用–趨勢科技行動安全防護for Android來檢查這些應用程式。
檢查後,我發現在前五名中,只有Facebook和Adobe Flash Player 11要求的行動數據較少,消耗的資源也較少(像是電池續航力和記憶體)。進一步檢查後,發現可能被外洩的資訊包括地理位置(34%)、國際行動設備識別碼(IMEI)(27%)和資料庫(如通訊錄)(21%)。而會使用較多資料的應用程式,包括熱門手機遊戲 – 憤怒鳥。經典版憤怒鳥和憤怒鳥里約會存取包括IMEI、國際行動用戶識別碼(IMSI)、地理位置、傳入數據和資料庫等資料。
除了遊戲應用程式外,值得注意的是類似Skype和Google+等應用程式會消耗最多的電池續航力,即使只是將它們開啟而閒置的。
行動應用程式會外洩資訊這件事對不同使用者來說,也會有不同的認定。有些人會認為存取IMEI和其他資料就已經構成資料外洩了。但也有些人可能會認為沒有關係,只當成是安裝行動應用程式步驟的一部分。
但是不想要的行動資料外洩就是我們已經非常熟悉的真正威脅了。我們之前已經看過了好幾個實例,木馬化版本的熱門應用程式會在使用者不知情下發送記錄和其他行動數據到後端去。而這些被竊取的資料也可能被用在其他網路犯罪計劃裡。
趨勢科技行動應用程式信譽評比技術
我可以利用趨勢科技行動應用程式信譽評比來產生這些資料,它是在最近發表在Google Play上的趨勢科技行動安全防護的功能。這新的雲端服務會接收並分析APK套件的多項可能對設備產生效能和資料安全負面影響的功能。比方說:危險的使用API呼叫、洩漏特定資料、消耗電力、不該有的權限和開發者資訊。它還會檢查並建立行動應用程式和其開發者的信譽評比。
根據經驗法則,應用程式所要求的權限和可存取的設備資料都要限制到最小。要更加了解行動應用程式以及它們所要求的是怎樣的權限。如果應用程式要求了超出其功能的權限,在安裝之前得先三思。
@原文出處:Do You Know What Data Your Mobile App Discloses?
@延伸閱讀:
Android裝置上的七種惡意軟體類型與排行
Android上的間諜軟體測試版會竊取簡訊
哪一種行動作業系統最合適企業?
[圖文解說]旅行中誰吸乾了你的智慧型手機電力?
安裝手機應用程式前要注意的三件事
惡意Android應用程式:看成人影片不付費,威脅公布個資
中國第三方應用商店提供下載的手機間諜軟體 想竊聽他人手機 當心被反竊聽
你曾下載過這些嗎?煩人廣告事小,追蹤位置,手機被竊聽才頭大,逾七十萬人次被駭
《山寨版免費Android App》Instagram和Angry Birds Space憤怒鳥星際版/太空版 下載後電信費暴增
手機應用程式Sexy Ladies-2.apk是益智遊戲,還是廣告點鈔機?
<看更多手機病毒/行動威脅>
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
◎延伸閱讀
手機防毒不可不知 (蘋果動新聞 有影片)
TMMS 3.75 Stars in PC World AU
趨勢科技之前報導過針對智慧型手機使用者的誘騙付費攻擊(one-click billing fraud)。這種攻擊,顧名思義地就是會將使用者導向特定網站之後,誘騙他們去註冊並支付特定的服務。之前我們所看過的攻擊,會有一個網站要求目標使用者支付一定的金額,以避免自己的資料被送到一個成人網站。
趨勢科技最近發現一個類似的騙局,但這次它是經由一個惡意應用程式來專門針對Android的使用者。
這次的攻擊是從一個提供電玩影片的部落格網站開始。這個部落格稱為「Game Dunga」,在過去已經變更過網域三次了。在之前的版本,它放了許多電玩影片的連結(不只是成人內容)。但是現在的版本(第三代)只有成人內容的連結。
