愈來愈多企業支援BYOD,但同時對流動裝置上的保安威脅感憂心。隨著智能手機、平板電腦等流動裝置迅速普及,針對流動平台的惡意軟件亦相應飆升。
有保安廠商研究報告指出,去年手機惡意軟件數量增長58%,其中32%手機惡意軟件會竊取電郵地址和電話號碼等訊息。而手機操作系統漏洞增長則高達30%,其中以蘋果手機iOS系統証實漏洞最多,惟同一時期卻僅曾發現1個保安威脅;相反,漏洞較少的Android系統受威脅數量卻是眾流動平台之冠。
手機駁電腦充電隨時被盜重要密碼
儘管Android系統保安高危眾所周知,惟不少港人流動保安意識薄弱,仍喜歡到中文討論區或下載網站,下載「免費」或「已破解」的智機手機或平板電腦軟件。芬蘭保安軟件公司 F-Secure近日便於某中文下載網站發現一個名叫「USB Cleaver」的 Android App。不少用家都會以USB接駁電腦替手機充電,而這個App的特別之處,正是能夠在安裝後,透過USB連接電腦,盜取儲存於電腦內的重要密碼,包括瀏覽器儲存的社交網絡、電郵等帳戶和網站登入密碼,甚至是 Wi-Fi 密碼。假若企業用戶讓外人以 USB接駁其電腦或筆記簿型電腦充電,即隨時有可能因此而被盜取重要密碼。
F-Secure將此程式定義為「Hack Tool」破解工具,意思是此程式的原意便是拿取資料,而非散播病毒。安裝該程式後,Android介面會看到USB Cleaver的小圖示,點擊圖示啟動程式後會引領用戶下載另一個約3MB的檔案。Android用戶可以USB接駁電腦,再選擇要「拿取」的資料和密碼。F-Secure大中華區總監李力恆表示, Android 用戶透過USB接駁他人電腦充電十分普遍,假若對方的Android手機安裝了「USB Cleaver」, 便能夠在不知不覺下拿取用戶的密碼資料。他認為,一些惡意軟件開發商,未來也可能會運用類似手法,把拿取電腦檔案的編碼植入其他Android Apps,並自動上載這些偷取的檔案至互聯網。
要防止電腦被其他裝置偷取資料,李力恆建議用戶關閉Windows的Autorun功能。因為USB Cleaver這類軟件是透過Autorun功能,在接駁至電腦後自動執行一些Windows程式檔。此外,當有任何不屬於自己的裝置接駁至電腦時,記緊查看電腦是否有異様,如會否要求執行一些程式等。
Android版WhatsApp被「搞惡」
除了替外來手機充電容易狼入室,近日亦有傳不少用戶的Android版WhatsApp 被「惡搞」。有外國網站報導,指不少Android用戶的WhatsApp被「惡搞」,致其聯絡人、聊天小組(Group Chat)名稱自動變成「Priyanka」。即其WhatsApp上突然出現數百個Priyanka,讓用戶無法分辨誰是誰(Priyanka乃著名印度演員歌手,曾當選2000年度世界小姐。)
F-Secure認為,Android版WhatsApp被「搞惡」的原因,是它可能存在漏洞。F-Secure懷疑有人把一些惡意編碼,放入一個名為 Priyanka 的聯絡人咭片之中。假如用戶不小心將這個有問題的Priyanka加進WhatsApp便會受感染。但因這其並非惡意軟件,而是一個針對WhatsApp漏洞的聯絡人咭片檔案,故保安廠商亦束手無策,用戶可能要等待WhatsApp推出官方修正版才可以避免中招。因此,F-Secure強烈建議用戶不要打開和儲存不明來歷的聯絡人咭片,尤其是稱為「Priyanka」的聯絡人。
李力恆則建議Android手機用戶定期留意WhatsApp有否新版本,和留意官方有沒有辦法解決此問題。如不幸受感染,須立即在Android OS裡的通訊錄中,刪除導致問題出現的聯絡人,之後到設定>應用程式>WhatsApp選擇暫停運作和清除資料。惟須注意清除資料會導致所有對話記錄被刪除。Android版WhatsApp預設每天也會備份對話記錄,所以一般情況下,當用戶清除資料,並重新打開 WhatsApp,程式將會詢問是否要還原到上一次的對話記錄。
有保安廠商研究報告指出,去年手機惡意軟件數量增長58%,其中32%手機惡意軟件會竊取電郵地址和電話號碼等訊息。而手機操作系統漏洞增長則高達30%,其中以蘋果手機iOS系統証實漏洞最多,惟同一時期卻僅曾發現1個保安威脅;相反,漏洞較少的Android系統受威脅數量卻是眾流動平台之冠。
手機駁電腦充電隨時被盜重要密碼
儘管Android系統保安高危眾所周知,惟不少港人流動保安意識薄弱,仍喜歡到中文討論區或下載網站,下載「免費」或「已破解」的智機手機或平板電腦軟件。芬蘭保安軟件公司 F-Secure近日便於某中文下載網站發現一個名叫「USB Cleaver」的 Android App。不少用家都會以USB接駁電腦替手機充電,而這個App的特別之處,正是能夠在安裝後,透過USB連接電腦,盜取儲存於電腦內的重要密碼,包括瀏覽器儲存的社交網絡、電郵等帳戶和網站登入密碼,甚至是 Wi-Fi 密碼。假若企業用戶讓外人以 USB接駁其電腦或筆記簿型電腦充電,即隨時有可能因此而被盜取重要密碼。
F-Secure將此程式定義為「Hack Tool」破解工具,意思是此程式的原意便是拿取資料,而非散播病毒。安裝該程式後,Android介面會看到USB Cleaver的小圖示,點擊圖示啟動程式後會引領用戶下載另一個約3MB的檔案。Android用戶可以USB接駁電腦,再選擇要「拿取」的資料和密碼。F-Secure大中華區總監李力恆表示, Android 用戶透過USB接駁他人電腦充電十分普遍,假若對方的Android手機安裝了「USB Cleaver」, 便能夠在不知不覺下拿取用戶的密碼資料。他認為,一些惡意軟件開發商,未來也可能會運用類似手法,把拿取電腦檔案的編碼植入其他Android Apps,並自動上載這些偷取的檔案至互聯網。
要防止電腦被其他裝置偷取資料,李力恆建議用戶關閉Windows的Autorun功能。因為USB Cleaver這類軟件是透過Autorun功能,在接駁至電腦後自動執行一些Windows程式檔。此外,當有任何不屬於自己的裝置接駁至電腦時,記緊查看電腦是否有異様,如會否要求執行一些程式等。
Android版WhatsApp被「搞惡」
除了替外來手機充電容易狼入室,近日亦有傳不少用戶的Android版WhatsApp 被「惡搞」。有外國網站報導,指不少Android用戶的WhatsApp被「惡搞」,致其聯絡人、聊天小組(Group Chat)名稱自動變成「Priyanka」。即其WhatsApp上突然出現數百個Priyanka,讓用戶無法分辨誰是誰(Priyanka乃著名印度演員歌手,曾當選2000年度世界小姐。)
F-Secure認為,Android版WhatsApp被「搞惡」的原因,是它可能存在漏洞。F-Secure懷疑有人把一些惡意編碼,放入一個名為 Priyanka 的聯絡人咭片之中。假如用戶不小心將這個有問題的Priyanka加進WhatsApp便會受感染。但因這其並非惡意軟件,而是一個針對WhatsApp漏洞的聯絡人咭片檔案,故保安廠商亦束手無策,用戶可能要等待WhatsApp推出官方修正版才可以避免中招。因此,F-Secure強烈建議用戶不要打開和儲存不明來歷的聯絡人咭片,尤其是稱為「Priyanka」的聯絡人。
李力恆則建議Android手機用戶定期留意WhatsApp有否新版本,和留意官方有沒有辦法解決此問題。如不幸受感染,須立即在Android OS裡的通訊錄中,刪除導致問題出現的聯絡人,之後到設定>應用程式>WhatsApp選擇暫停運作和清除資料。惟須注意清除資料會導致所有對話記錄被刪除。Android版WhatsApp預設每天也會備份對話記錄,所以一般情況下,當用戶清除資料,並重新打開 WhatsApp,程式將會詢問是否要還原到上一次的對話記錄。
沒有留言:
發佈留言