2013年2月27日星期三

大型社交網絡平台相繼遭入侵

社交媒體滲透力強,內含龐大用戶個人資訊,少不免成為黑客覬覦的對象。由於使用者眾,惟個人保安意識不足,為黑客提供了絕佳的攻擊渠道。除了大量利用社交工程技巧(social engineering techniques),誘騙用戶按下內含惡意程式,或導向不法網站之連結,以盜取受騙用戶之個人資訊。近月來,大型社交網絡平台Twitter及Facebook更相繼被針對性入侵。

月初,Twitter遭入侵後,其資訊保安總監Bob Lord建議用戶關閉瀏覽器的Java功能,並表示攻擊者十分精密,不排除尚有其他公司或機構同時遭類似手法攻擊。

及至月中,Facebook亦宣布遭黑客入侵。據他們的保安團體通告顯示,有多位員工在瀏覽受感染網站後,他們的筆記簿型電腦也相繼經由Java漏洞遭到入侵。

F-Secure據資料估計,Facebook有員工以Mac電腦進入有害網站後,透過Java漏洞被入侵,致令Facebook系統遭受入侵。而Facebook方面,已公布系統被入侵,並作出即時跟進。另有資料顯示,發動攻擊的人,正針對智能電話、平板電腦Apps的開發商進行攻擊,並藉此散播惡意軟件。

社交網絡平台成攻擊目標

報導又稱,其他大型科技公司亦懷疑曾被相同手法入侵,令各社交網絡平台及新興流動應用程式公司人人自危。幸而Twitter和Facebook均設有保安團隊,能及早發現問題,所以影響暫時不太大。惟F-Secure亞洲地區保安顧問吳樹謙表示,大眾普遍缺乏Mac電腦的安全意識,令黑客有機會以Java漏洞入侵各類大型網絡系統。他促資源較少的公司,如擁有過億用戶的Whatsapp成立相關保安團隊,以便防止系統遭受入侵。

吳樹謙建議,用戶可將瀏覽器的Java功能關閉,在真正有需要時才暫時開啟。「Facebook 的事件亦引來一些有趣問題:為甚麼Facebook員工的筆記簿型電腦被入侵呢?我們在許多Facebook員工的相片中得知,他們當中不少均為Mac電腦用家。而在本月4日,我們亦曾在網誌估計有關的Java漏洞,可能會影響很多使用Mac電腦的矽谷公司和程式開發員。」
改針對流動程式開發員

月中,F-Secure針對收到的一些Mac惡意軟件様本作出分析,其中包括在Twitter 被入侵前一日才首次被發現的様本。F-Secure認為,有一類型的様本,與系統或程式漏洞有關,而其他的様本則屬一些能在電腦啟動時,自動秘密運行的格式。而所用的網址,包括「Apple Corp(錯誤串法)」,令人誤以為是著名品牌公司的網頁;另有部分假冒雲端儲存服務。現時雖偶有在Mac上爆發的保安威脅事故,惟大多數Mac用戶皆因安全錯覺而忽視,或輕視了事件的嚴重性,吳氏認為這並非好現象。

更令人憂慮的,是據Facebook的告示顯示,被入侵用作散播惡意程式的網站,乃一流動應用程式開發工具網站。換句話說,該漏洞和攻擊顯然是針對流動應用程式開發者。當黑客無法入侵流動裝置時,便改從流動應用程式開發者入手,神不知鬼不覺地將有問題的編碼,注入開發者的流動應用程式,由他人代為散播。正當使用者滿以為Mac電腦十分安全的同時,又有幾多流動應用程式開發者,曾瀏覽過有問題的網站並且已受感染?吳氏稱,若此類攻擊僅針對Facebook和Twitter,那我們相當幸運,否則攻擊可能會波及為數甚多的開發者,繼而產生如「應否允許員工使用個人自攜裝置(BYOD)」的討論。他續建議,如開發者過去數月曾瀏覽流動應用程式開發網站,且開啟了Java和在電腦中找到被入侵的證據,應在他們的程式編碼中,尋找最近版本有否出現問題。若開發者並非以版本形式儲存,則須要重新查看整個程式編碼。

沒有留言:

發佈留言