程式更新時索取的新權限潛藏風險,或令用戶私密資料外洩,呼籲用家更新前,要先衡量新增權限是否合理。
自認「IT盲」的陳小姐,過去每見到手機出現提醒更新應用程式時,均會隨手按下「全部更新」;直至最近留意到Facebook更新時要求讀取其日曆事件及機密資訊,才意識到更新程式潛藏危機。
可控制相機 不知不覺被監視
F-Secure大中華區總監李力恒指出,近年愈來愈多不法之徒,乘用戶更新程式時播毒:「首宗案例發生於兩年前,一個提供新年賀詞的惡意程式,於更新檔案中散播病毒。」他指出,Google Play及蘋果App Store均會嚴格審核上架程式,發現病毒即將作者列入黑名單,為逃過監察,黑客遂改在審查較寬鬆的更新版「出蠱惑」,他提醒:「節日性的Apps最易中招,例如聖誕節Wallpaper、節日祝福等。因開發這類程式較省時,且易吸引人更新。」
若更新了有毒程式,輕則手機內聯絡資料被盜,用戶會受垃圾電話滋擾,嚴重者可致金錢損失。李力恒表示,近來最常見的病毒,是會模擬用戶身份發送SMS至黑客開設的公司,訂購收費服務,從中牟利;另一種則會偷取機身編號,售予手機山寨廠:「這樣會產生兩部同編號的手機,或會影響原廠保養。」
此外,不少程式更新時會索取新權限。香港專業教育學院資訊及通訊科技系系主任梁秉雄指,部分看似普通的權限,實情暗藏危機,例如「控制相機及錄音機」可令用戶不知不覺間被監視;「直接撥打電話號碼」則可能被利用來提供長途電話服務(見表)。
一旦授權 防毒軟件也難阻擋
他指,近年不少手機被利用作「殭屍攻擊」,即是同時間瀏覽某個網站,令其系統癱瘓:「不要以為事不關己,因為被用作攻擊的手機,其數據用量會暴增,拖慢手機速度!」梁稱,只要取得「完整的互聯網存取權」及「修改USB儲存裝置內容」兩個權限,程式作者即可利用該手機進行殭屍攻擊。
梁秉雄建議,除了為手機安裝防毒及防間諜軟件,更新程式前要先衡量其新增權限是否合理:「一旦同意授權,防毒軟件亦無法阻擋私隱洩漏!」
沒有留言:
發佈留言